- Android alkalmazások - szoftver kibeszélő topik
- Google Pixel 8 Pro - mestersége(s) az intelligencia
- Yettel topik
- iPhone topik
- Motorola Edge 60 és Edge 60 Pro - és a vas?
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Brutál akkuval érkeztek az Ulefone X16 modellek
- Betiltották a Pixel 7-et Japánban
- 200 megapixeles zoomkamerát sem kap az S26 Ultra?
- Fotók, videók mobillal
Új hozzászólás Aktív témák
-
chipi89
tag
Sziasztok!
Védelmet szeretnék beállítani a Banana Pi R1 útválasztómon.
A portokat így állítottam be a /etc/network/if-pre-up.d/swconfig fájlban.
LAN (eth0.102) WAN (eth0.101)
[ 2 1 0 4 ] [ 3 ]
Az Iptablest úgy szeretném beállítani, hogy kifelé csak a ssh -t lehessen elérni.
Belső hálózaton meg mindent elérhessek egymás között.
Mit írjak az ip tablesbe?Köszönöm szépen előre is segítséget!
-
felora:)
tag
sziasztok!
túl nagy forgalma nincs a topicnak, de hátha valaki tudna választ adni nekem...... a problémám a következő:
adott egy gép, routerként üzemel. osztja a netet kábelen (192.168.2.1/24) és wifin (192.168.3.1/24).
az egyik wifis gépnél küzdök portfw-al, 6901-es portot szeretném nyitni, a PFPortChecker azt írja, hogy a port nyitva van a gépen, minden happy, de az utorrent meg azt mondja, hogy a port zárva van.... :/
a routerként üzemelő gépen ipfire van.[root@w-router ~]# uname -a
Linux w-router 3.2.48-ipfire #1 SMP Fri Aug 23 18:34:56 GMT 2013 i686 i686 i386 GNU/Linuxnézegettem a leírásokat, de nem jutottam előrébb.......
ötlete valakinek?
[root@w-router ~]# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
122K 115M BADTCP all -- any any anywhere anywhere
122K 115M CUSTOMINPUT all -- any any anywhere anywhere
122K 115M GUARDIAN all -- any any anywhere anywhere
122K 115M IPTVINPUT all -- any any anywhere anywhere
122K 115M GUIINPUT all -- any any anywhere anywhere
109K 114M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
12778 1587K IPSECINPUT all -- any any anywhere anywhere
12778 1587K OPENSSLVIRTUAL all -- any any anywhere anywhere /* OPENSSLVIRTUAL INPUT */
12778 1587K TOR_INPUT all -- any any anywhere anywhere
57 3609 ACCEPT all -- lo any anywhere anywhere state NEW
0 0 DROP all -- any any 127.0.0.0/8 anywhere state NEW
0 0 DROP all -- any any anywhere 127.0.0.0/8 state NEW
559 57109 ACCEPT !icmp -- green0 any anywhere anywhere state NEW
12162 1526K DHCPBLUEINPUT all -- any any anywhere anywhere
12151 1522K OPENSSLPHYSICAL all -- any any anywhere anywhere
12081 1518K WIRELESSINPUT all -- any any anywhere anywhere state NEW
11583 1472K REDINPUT all -- any any anywhere anywhere
11513 1469K XTACCESS all -- any any anywhere anywhere state NEW
448 55246 LOG all -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix "DROP_INPUT "
11564 1471K DROP all -- any any anywhere anywhere /* DROP_INPUT */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
172K 122M BADTCP all -- any any anywhere anywhere
6970 328K TCPMSS tcp -- any any anywhere anywhere tcpflags: SYN,RST/SYN TCPMSS clamp to PMTU
172K 122M GUARDIAN all -- any any anywhere anywhere
172K 122M CUSTOMFORWARD all -- any any anywhere anywhere
172K 122M IPTVFORWARD all -- any any anywhere anywhere
167K 122M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
5137 366K IPSECFORWARD all -- any any anywhere anywhere
5137 366K OPENSSLVIRTUAL all -- any any anywhere anywhere /* OPENSSLVIRTUAL FORWARD */
5137 366K OUTGOINGFWMAC all -- any any anywhere anywhere
0 0 ACCEPT all -- lo any anywhere anywhere state NEW
0 0 DROP all -- any any 127.0.0.0/8 anywhere state NEW
0 0 DROP all -- any any anywhere 127.0.0.0/8 state NEW
273 13873 ACCEPT all -- green0 any anywhere anywhere state NEW
4584 334K WIRELESSFORWARD all -- any any anywhere anywhere state NEW
886 105K REDFORWARD all -- any any anywhere anywhere
726 94047 PORTFWACCESS all -- any any anywhere anywhere state NEW
0 0 UPNPFW all -- any any anywhere anywhere state NEW
106 7449 LOG all -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix "DROP_OUTPUT "
160 10715 DROP all -- any any anywhere anywhere /* DROP_OUTPUT */
Chain OUTPUT (policy ACCEPT 92 packets, 25872 bytes)
pkts bytes target prot opt in out source destination
99913 90M CUSTOMOUTPUT all -- any any anywhere anywhere
99913 90M OUTGOINGFW all -- any any anywhere anywhere
99511 90M IPSECOUTPUT all -- any any anywhere anywhere
Chain BADTCP (2 references)
pkts bytes target prot opt in out source destination
105 9181 RETURN all -- lo any anywhere anywhere
0 0 PSCAN tcp -- any any anywhere anywhere tcpflags: FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
0 0 PSCAN tcp -- any any anywhere anywhere tcpflags: FIN,SYN,RST,PSH,ACK,URG/NONE
0 0 PSCAN tcp -- any any anywhere anywhere tcpflags: FIN,SYN,RST,PSH,ACK,URG/FIN
0 0 PSCAN tcp -- any any anywhere anywhere tcpflags: SYN,RST/SYN,RST
0 0 PSCAN tcp -- any any anywhere anywhere tcpflags: FIN,SYN/FIN,SYN
6 934 NEWNOTSYN tcp -- any any anywhere anywhere tcpflags:! FIN,SYN,RST,ACK/SYN state NEW
Chain CUSTOMFORWARD (1 references)
pkts bytes target prot opt in out source destination
Chain CUSTOMINPUT (1 references)
pkts bytes target prot opt in out source destination
Chain CUSTOMOUTPUT (1 references)
pkts bytes target prot opt in out source destination
Chain DHCPBLUEINPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- blue0 any anywhere anywhere tcp spt:bootpc dpt:bootps
11 3659 ACCEPT udp -- blue0 any anywhere anywhere udp spt:bootpc dpt:bootps
Chain DMZHOLES (10 references)
pkts bytes target prot opt in out source destination
Chain GUARDIAN (2 references)
pkts bytes target prot opt in out source destination
Chain GUIINPUT (1 references)
pkts bytes target prot opt in out source destination
4 336 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
Chain IPSECFORWARD (1 references)
pkts bytes target prot opt in out source destination
Chain IPSECINPUT (1 references)
pkts bytes target prot opt in out source destination
Chain IPSECOUTPUT (1 references)
pkts bytes target prot opt in out source destination
Chain IPTVFORWARD (1 references)
pkts bytes target prot opt in out source destination
Chain IPTVINPUT (1 references)
pkts bytes target prot opt in out source destination
Chain LOG_DROP (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning
0 0 DROP all -- any any anywhere anywhere
Chain LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning
0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable
Chain NEWNOTSYN (1 references)
pkts bytes target prot opt in out source destination
6 934 LOG all -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix "DROP_NEWNOTSYN "
6 934 DROP all -- any any anywhere anywhere /* DROP_NEWNOTSYN */
Chain OPENSSLPHYSICAL (1 references)
pkts bytes target prot opt in out source destination
Chain OPENSSLVIRTUAL (2 references)
pkts bytes target prot opt in out source destination
Chain OUTGOINGFW (1 references)
pkts bytes target prot opt in out source destination
97350 90M RETURN all -- any any anywhere anywhere state RELATED,ESTABLISHED
28 2760 RETURN icmp -- any any anywhere anywhere
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC
146 9721 LOG udp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
283 18866 RETURN udp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC
9 540 LOG tcp -- any ppp0 anywhere anywhere multiport dports http TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
11 660 RETURN tcp -- any ppp0 anywhere anywhere multiport dports http TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports https TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports https TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imap3 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imap3 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imap TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imap TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imaps TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imaps TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports pop3 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports pop3 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports pop3s TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports pop3s TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports smtp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports smtp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports urd TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports urd TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ntp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ntp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 192.168.3.21 anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 192.168.3.21 anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 csillag.wsrv anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 csillag.wsrv anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC
218 20800 RETURN all -- any any anywhere anywhere ipp2p v0.8.2-ipfire --dc --bit
118 7076 DROP all -- any ppp0 anywhere anywhere /* DROP_OUTGOINGFW */
Chain OUTGOINGFWMAC (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 RETURN icmp -- any any anywhere anywhere
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports http-alt TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports mdbs_daemon TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports wins TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports bootpc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC
8 511 LOG udp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
36 2181 RETURN udp -- any ppp0 anywhere anywhere multiport dports domain TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports echo TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ftp-data TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports irc TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports 6667 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports microsoft-ds TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports name TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-dgm TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-ns TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports netbios-ssn TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports shilp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports sftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports tftp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports time TIME from 00:00:00 to 00:00:00 UTC
97 4808 LOG tcp -- any ppp0 anywhere anywhere multiport dports http TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
431 21412 RETURN tcp -- any ppp0 anywhere anywhere multiport dports http TIME from 00:00:00 to 00:00:00 UTC
150 9363 LOG tcp -- any ppp0 anywhere anywhere multiport dports https TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
404 22599 RETURN tcp -- any ppp0 anywhere anywhere multiport dports https TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imap3 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imap3 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imap TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imap TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports imaps TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports imaps TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports pop3 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports pop3 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports pop3s TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports pop3s TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports smtp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports smtp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 anywhere anywhere multiport dports urd TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 anywhere anywhere multiport dports urd TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG udp -- any ppp0 anywhere anywhere multiport dports ntp TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN udp -- any ppp0 anywhere anywhere multiport dports ntp TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 192.168.3.21 anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 192.168.3.21 anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC
0 0 LOG tcp -- any ppp0 csillag.wsrv anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC limit: avg 10/min burst 5 LOG level warning prefix "LOG_OUTGOINGFW "
0 0 RETURN tcp -- any ppp0 csillag.wsrv anywhere multiport dports tcpmux:65535 TIME from 00:00:00 to 00:00:00 UTC
446 58590 RETURN all -- any any anywhere anywhere ipp2p v0.8.2-ipfire --dc --bit
61 3834 DROP all -- any ppp0 anywhere anywhere /* DROP_OUTGOINGFW */
Chain PORTFWACCESS (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- ppp0 any anywhere csillag.wsrv tcp dpt:6901
Chain PSCAN (5 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- any any anywhere anywhere limit: avg 10/min burst 5 /* DROP_TCP PScan */ LOG level warning prefix "DROP_TCP Scan "
0 0 LOG udp -- any any anywhere anywhere limit: avg 10/min burst 5 /* DROP_UDP PScan */ LOG level warning prefix "DROP_UDP Scan "
0 0 LOG icmp -- any any anywhere anywhere limit: avg 10/min burst 5 /* DROP_ICMP PScan */ LOG level warning prefix "DROP_ICMP Scan "
0 0 LOG all -f any any anywhere anywhere limit: avg 10/min burst 5 /* DROP_FRAG PScan */ LOG level warning prefix "DROP_FRAG Scan "
0 0 DROP all -- any any anywhere anywhere /* DROP_PScan */
Chain REDFORWARD (1 references)
pkts bytes target prot opt in out source destination
Chain REDINPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- red0 any anywhere anywhere
0 0 ACCEPT all -- red0 any anywhere anywhere
Chain TOR_INPUT (1 references)
pkts bytes target prot opt in out source destination
Chain UPNPFW (1 references)
pkts bytes target prot opt in out source destination
Chain WIRELESSFORWARD (1 references)
pkts bytes target prot opt in out source destination
3827 238K ACCEPT all -- blue0 !green0 anywhere anywhere MAC 00:0E:35:DC:D9:3C
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 00:0E:35:DC:D9:3C
22 1331 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 30:39:26:07:2B:0E
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 30:39:26:07:2B:0E
9 540 ACCEPT all -- blue0 !green0 anywhere anywhere MAC D0:51:62:B0:A6:7D
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC D0:51:62:B0:A6:7D
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 48:28:2F:C1:70:A1
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 48:28:2F:C1:70:A1
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 20:59:A0:AB:4E:FA
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 20:59:A0:AB:4E:FA
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC A4:77:60:6A:C2:B4
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC A4:77:60:6A:C2:B4
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 4C:ED:DE:F5:0C:43
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 4C:ED:DE:F5:0C:43
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 60:6C:66:4D:74:2F
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 60:6C:66:4D:74:2F
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC A0:F4:50:EF:4A:CD
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC A0:F4:50:EF:4A:CD
0 0 ACCEPT all -- blue0 !green0 anywhere anywhere MAC 54:35:30:60:2C:47
0 0 DMZHOLES all -- blue0 any anywhere anywhere MAC 54:35:30:60:2C:47
0 0 LOG all -- blue0 any anywhere anywhere LOG level warning prefix "DROP_Wirelessforward"
0 0 DROP all -- blue0 any anywhere anywhere /* DROP_Wirelessforward */
Chain WIRELESSINPUT (1 references)
pkts bytes target prot opt in out source destination
475 38448 ACCEPT all -- blue0 any anywhere anywhere MAC 00:0E:35:DC:D9:3C
21 1872 ACCEPT all -- blue0 any anywhere anywhere MAC 30:39:26:07:2B:0E
17 1065 ACCEPT all -- blue0 any anywhere anywhere MAC D0:51:62:B0:A6:7D
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC 48:28:2F:C1:70:A1
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC 20:59:A0:AB:4E:FA
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC A4:77:60:6A:C2:B4
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC 4C:ED:DE:F5:0C:43
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC 60:6C:66:4D:74:2F
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC A0:F4:50:EF:4A:CD
0 0 ACCEPT all -- blue0 any anywhere anywhere MAC 54:35:30:60:2C:47
55 8502 LOG all -- blue0 any anywhere anywhere LOG level warning prefix "DROP_Wirelessinput"
55 8502 DROP all -- blue0 any anywhere anywhere /* DROP_Wirelessinput */
Chain XTACCESS (1 references)
pkts bytes target prot opt in out source destination
19 1120 ACCEPT tcp -- ppp0 any anywhere dsl51B6FD49.fixip.t-online.hu tcp dpt:acmsoda -
rt06
veterán
Hi!
hogyan tudnek olyat megoldani iptables-sel, hogy a router mogotti geprol, egy ugyanazon masik router mogotti gepen levo szolgaltatast el tudjak erni publikus cim alapjan?
a router-en levo szolgaltatasokat elerem publikus ip alapjan is, viszont az alhalozat egyeb gepein levoket nem
gondolom a forwarding szabalyokat kellene modositani, de nincs otletem, hogy mikentbarminemu otletet, javaslatot, utmutatast szivesen veszek
Udv: VladimirR -
Tomi84
aktív tag
kis segítséget szeretnék kérni beállításhoz.
Most vettem át egy tűzfalként üzemelő linuxos gépet, és "kissé" megkopott már az iptables tudásom. (na jó, nagyon nem is volt...
)
NAT-olást kéne beállítanom, amikor is 192.168.24.0 címre érkezik csomag, azt egyből továbbítsa egy 10.15.0.1 címre. Miként lehetne ezt legegyszerűbben beállítani? eth0-ra, ip címe 81.210.86.66 -
Osiris
őstag
HELP!
Sikerült összehoznom egy vpn-t, úgy hogy iptables masqarade szabállyal elrejtem a hálózatot, így a vpn azt látja mintha a 192.168.23.2 ip-ről jönnének a kérések.
A gondom az, hogy a pingek mennek is minden gond nélkül, de pl ha ssh kapcsolatot kezdeményezek, akkor az nem működik, a putty viszont nem száll el timeouttal (vagy csak nagyon sokára)..
A tcpdump kimenetében ilyeneket látok:root@router:~# tcpdump -i eth1 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
11:08:45.153603 IP 192.168.23.2.57794 > 192.168.20.117.22: Flags [S], seq 478295673, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:08:48.145789 IP 192.168.23.2.57794 > 192.168.20.117.22: Flags [S], seq 478295673, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:08:54.143774 IP 192.168.23.2.57794 > 192.168.20.117.22: Flags [S], seq 478295673, win 65535, options [mss 1460,nop,nop,sackOK], length 0Mire lehet következtetni ebből? Pl., a 0 hosszúságú csomagok azok mit jelentenek? Lehet, hogy az iptablessel van valami gond?
iptables így van beállítva:
root@router:~# iptables -v -t nat -A POSTROUTING --destination 192.168.20.0/24 -j MASQUERADE
root@router:~# iptables -L -v -t nat -n
Chain PREROUTING (policy ACCEPT 8529 packets, 1378K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 392 packets, 29640 bytes)
pkts bytes target prot opt in out source destination
21 1408 MASQUERADE all -- * * 0.0.0.0/0 192.168.20.0/24
Chain OUTPUT (policy ACCEPT 392 packets, 29640 bytes)
pkts bytes target prot opt in out source destinationLáttok itt valami rendelleneset?
-
eziskamu
addikt
Ha valaki felhasználná, és a változókat be is lövi, ne csodálkozzon, ha nem müxik a web, mert transparent Squid is kell hozzá
Amúgy mennyire fontos, hogy leállításkor töröljük az iptables szabályokat?
Van egy szkript az /etc/init.d-ben, aminek a start "metódusa" hívja ezt a szkriptet, de a stop ágába még csak egy echo "Not implemented yet" van, ami szépen le is fut -
eziskamu
addikt
Ha még érdekel, megmutatom.
Ha van valami ötlet a gyorsabbá tételéhez, vagy van valami komolyabb biztonsági baki (a belső hálóban bízom, onnan bárki csatlakozhat a szerver bármely szolgáltatására, és ezen nem változtatnék) akkor örömmel veszem. Mindezt megfejeltem még Linux-IGD-vel, hogy (remélhetőleg) a felhasználói programok portot nyissanak (, és az utorrent müxik is, bezöldül) .
A ma délutáni állapota (folyamatosan toldozom-foldozom) :
#!/bin/sh
IPTABLES='/sbin/iptables'
# Set interface values
EXTIF="ppp0"
INTIF="eth1"
# Set WAN speed values in Kbit
DOWNLINK="2500"
UPLINK="155"
# squid server IP
SQUID_SERVER="192.168.1.42"
# Squid port
SQUID_PORT="4128"
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# modprobe ip_nat_rtsp
# modprobe ip_conntrack_rtsp
modprobe ip_nat_h323
modprobe ip_conntrack_h323
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
# modprobe ip_nat_proto_gre
# modprobe ip_conntrack_proto_gre
# For TCP Vegas protocol
modprobe tcp_vegas
#Connection settings
echo 16384 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
#echo 1024 > /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets
# Connection timeouts from openwrt
echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
echo 1800 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Enable TCP Vegas
echo vegas > /proc/sys/net/ipv4/tcp_congestion_control
# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X
#Enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#Forward LAN traffic from LAN $INTIF to Internet $EXTIF
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
#Allowing access to the SSH server"
$IPTABLES -A INPUT -i $INTIF -j ACCEPT
#$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
#Allowing access to the HTTP server"
#$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT
# block out all other Internet access on $EXTIF
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
#Redirect TCP port 25 to another internal computer
#$IPTABLES -A FORWARD -i $EXTIF -d 10.0.0.5 -p tcp --dport 25 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 25 -j DNAT --to-destination 10.0.0.6:25
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
$IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# if it is same system
$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
#Traffic shaping
wondershaper $EXTIF $DOWNLINK $UPLINK -
Osiris
őstag
hi!
iptables-sel szeretnék két különböző hálózatot összekötni, úgy, hogy a köztük levő router gép egyik lába a 192.168.1.0 (eth0) a másik 1 92.168.23.0 (eth1) hálózatban van.
A 192.168.23.0 hálózatról ipsec-vpn-en keresztűl lehet elérni egy 192.168.20.0 című hálózatot, ez a vpn-en elérhető hálózat a 192.168.23.0 hálózatból hajlandó fogadni a kapcsolatokat, ezért is kell ez az iptables-es megoldás, a mit a NETMAP hálózat egymáshozrendeléssel oldanék meg.A NETMAP a PREROUTING láncban a bejövő csomagok célcímében módosítja a hálózatszámot (itt .23.0/24-ről .1.0/24-re), a POSTROUTING láncban a kimenő csomagok forrás címének hálózatszáma változik (itt .0.1/24-ről, .23.0/24-re).
Jelenleg itt tartok a beállításokkal:
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.20.0/24 -d 192.168.23.0/24 -j NETMAP --to 192.168.1.0/24
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.20.0/24 -j NETMAP --to 192.168.23.0/24A kérdés, hogy miért nem működik?
-
quby
őstag
válasz
eziskamu
#154
üzenetére
csak egy ötlet:
iptables -A INPUT -j LOG --log-prefix "INPUT_DROP"
Igy logolja a dropolt csomagokat. Nézd meg mit dob el amikor csatlakozni akarsz és azt a portot is nyitsd meg. Aztán szedd ki ezt a sort mert nekem a percenként kb 15 bejegyzést csinál a logba. De sztem a https porttal mennie kéne.
Én csak a 445-ös portot engedem ki és ugy megy... -
eziskamu
addikt
Csinálnék egy maszek PC-s routert debian alapon, de elakadtam.
Azt nem tudjátok, ha a belső hálóról mindent kiengedek a net felé, a NAT is be van állítva és megy a https-et használó Neptun is rendben, akkor az OTP Direct esetén miért nem tudok továbbjutni a bejelentkezőképernyőn, míg a Linksys routerrel megy rendben? Van valami ötletetek, vagy hogy tudnám ellenőrízni, hogy miért nem mrgy tovább az oldal.? -
quby
őstag
Nan hátha itt vannak az okosok!
Van egy ubuntu home serverem, amit most raktam ujra, karmic->lucyd. Router és egyéb funkciókat lát el, a hálózat igy néz ki:
eth1=>WAN
eth0+wlan0=br0=>LAN=>switch=>gépekA gondom az hogy egyszerüen nem mennek a portforwardok. Eddig nem használtam tüzfalat, de most az iptables "rövidebb" tanulmányozása után megirtam az eslö tüzfalskriptemet
. Alap, de a semminél több. Igy néz ki:#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -i eth1 -j ACCEPT
# INPUT lánc
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,55500:55600 -j ACCEPT
# iptables -A INPUT -j LOG --log-prefix "INPUT_DROP"
iptables -A INPUT -j ACCEPT
# OUTPUT lánc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,22,25,30,80,110,143,443,465,993,995,5000,55500:55600 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -j DROP
# Portforwardok
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 90 -j DNAT --to 192.168.1.118
iptables -A FORWARD -p tcp -d 192.168.1.118 --destination-port 90 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 12000 -j DNAT --to 192.168.1.118
iptables -A FORWARD -p tcp -d 192.168.1.118 --destination-port 12000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.107
iptables -A FORWARD -p tcp -d 192.168.1.107 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16001 -j DNAT --to 192.168.1.118
iptables -A FORWARD -p tcp -d 192.168.1.118 --destination-port 16001 -j ACCEPTA portforwardok egyszerüen nem mennek. A szerveren fut apache, azt elérem a dyndns-emen kersztül. A 192.168.1.118-as eszköz is elérhetö web-es felületröl, de annak a 90-es port van beállitva viszonz azt már kintröl nem érem el .A portforward 9.10-en ment ugyanezzel a módszerrel. Mit rontok el?
-
kovaax
őstag
Sziasztok,
A tűzfalamat piszkálom, és beállítottam, hogy logolja a kimenő INVALID csomagokat, hogy lássam, vannak-e ilyenek. És azt látom hogy vannak, és ezek mind a 80-as portra mennének. Mik ezek? Mitől invalidok?
Apr 11 13:56:46 otthon kernel: [ 4077.814082] OUTPUT_INVALID: IN= OUT=eth0 SRC=ip DST=ip LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=42742 DF PROTO=TCP SPT=45120 DPT=80 WINDOW=160 RES=0x00 ACK FIN URGP=0
Apr 11 14:10:01 otthon kernel: [ 4937.033832] OUTPUT_INVALID: IN= OUT=eth0 SRC=ip DST=ip LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=33823 DF PROTO=TCP SPT=35679 DPT=80 WINDOW=91 RES=0x00 ACK FIN URGP=0
Apr 11 14:11:12 otthon kernel: [ 5013.958097] OUTPUT_INVALID: IN= OUT=eth0 SRC=ip DST=ip LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=33824 DF PROTO=TCP SPT=35679 DPT=80 WINDOW=91 RES=0x00 ACK FIN URGP=0
Apr 11 14:11:59 otthon kernel: [ 5063.892765] OUTPUT_INVALID: IN= OUT=eth0 SRC=ip DST=ip LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=1456 DF PROTO=TCP SPT=50762 DPT=80 WINDOW=411 RES=0x00 ACK FIN URGP=0 -
QuarK
senior tag
megvan. tegyük fel, hogy a "virtuális" alháló a 10.0.0.0/8. A szerver pedig 192.168.0.2. A kliensek tehát 10.x.x.x:4445-öt címeznek, amelyet aztán a szerveren futó alkalmazás a 4446-os porton kap el. Az alkalmazásnak a 192.168.0.2:4446-on kell figyelnie (nem a 127.0.0.1-en, mert úgy nem fog menni). A kliens gépen, ahol a szálak indulnak
route add 10.0.0.0 mask 255.0.0.0 192.168.0.2 (windows),
a szerveren:
iptables -t nat -A prerouting -p tcp --destination 10.0.0.0/8 --dport 4445 -j DNAT --to-destination 192.168.0.2:4446
És így ment
-
QuarK
senior tag
sziasztok
a feladat a következő lenne, amelyet meg kéne valósítani - egyetlen egy linuxos gépen kellene szimulálni egy egész hálózatot. lenne egy szerver, ami egy adott porton figyel.
lenne egy kliens, amin több szálon futnak kliensek, és különböző szerverekhez csatlakoznak, pl. 10.1.1.1:8000, 10.1.1.2:8000, ..., 10.1.1.254:8000. Nyilván nincs lehetőség 254 virtuális gépet, interfészt, stb. felhúzni, főleg, ha ennél nagyobb számra volna szükség.
ami felötlött, hogy a szerveren (ami a kliens szálakat futtató gépen, mint gateway van beállítva a 10.x.x.x-es hálóhoz) a DNAT/SNAT segítségével oldanám meg: ha érkezik egy csomag ezt a 10-es hálót megcímezve, akkor natolva lenne localhost-ra, így minden kérés ehhez az egy szerverhez érkezne, majd a válasz is vissza lenne forgatva, így a kliens is azt hinné, tényleg a megcímzett szerver válaszol.
szerintetek, lehetséges ez?
-
#148
World-Soft
senior tag
World-Soft
senior tag
Sziasztok!
Asus WL500W routerem van amint egy oleg nevű linuxos FW van felrakva.
A tűzfallal kapcsoaltban lenne kérdésem.
Ha a tűzfalban pl. megnyitom a 21-es portot, akkor onnantól máris látom a net felöl a router FTP-jét.
"iptables -A INPUT -p tcp --dport 21 -j ACCEPT"Viszont sok helyen még a portnyitás után további natolást is csinálnak:
[link1] vagy [link2]Mire jó ez?
Azt értem, hogy a csomagot átírja mintha a helyi hálóról jött volna, de ezzel mit lehet elérni, ha már a portnyitással is működik nálam....Előre is köszi.
Zoli -
felora:)
tag
sziasztok. van egy ilyen iptables scriptem:
#!/bin/bash
# cleaning up
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# basic
iptables -t filter -A INPUT -m state --state INVALID -j DROP # drop all invalid
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # accept established, related
iptables -t filter -A INPUT -i lo -j ACCEPT # accept all from localhost
iptables -t filter -A INPUT -i internet -j ACCEPT # accept all from LAN
iptables -t filter -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # ssh
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # masquerade ppp0
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT # ftp
iptables -P FORWARD ACCEPTa problémám az, hogy ha ftp-vel akarok kapcsolódni, akkor kb ~2mp után azt írja timeout.
portvizsgálaton is csak a 22-es port van nyitva. hogyan tudnám orvosolni? -
dabadab
titán
-
FaBatka
aktív tag
Pontosan!
Kintről teljesen jó, de bentről csak akkor, ha local ip-t adok meg.
ez pedig a forward szabály:
iptables -A FORWARD -i $EXTIF -o $INTIF -d 192.168.0.200 -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $INTIP --dport 443 -j DNAT --to 192.168.0.200:443
[Szerkesztve] -
FaBatka
aktív tag
Tisztelet!
Következő kérdéssel fordulnék a nagyérdeműhöz. Adott egy Debian-os gép, ami az internetmegosztást csinálja, két hálókártyával persze. Van egy gép a belső LAN-on amit el szeretnék érni kívülről. Ezt egy iptables forward lánccal meg is van oldva, tehát az internet felöl a gép elérhető és teljesen jól müxik is. A probléma viszont az, hogy a belső lanon lévő gépek viszont nem látják, ha a külsö címen(www.valami.hu) akarják elérni, csak akkor ha a belső lan ip címét adják be a böngészőbe.
milyen iptables szabályok kellenének, hogy kűködjön rendesen?
köszi -
VladimirR
nagyúr
válasz
Jester01
#135
üzenetére
jah, nem tudtam, hogy csomagot nez, nem kapcsolatot, igy mar tiszta
az ftp-nel megy, ha nincs bent a drop-os szabaly
mondjuk kozben rajottem, hogy en vagyok a hulye, mert passziv modban van a kliens, viszont a passiveportrange geyreszt nincs beallitva, amsreszt nincs neki nyitva a tuzfal
p.s.: elnezest a lamasagomert
[Szerkesztve] -
Jester01
veterán
válasz
VladimirR
#134
üzenetére
Én meg a kérdésed nem értem
Az iptables alapból csomagszûrõ. Ha azt mondtad neki, hogy csak a 22es és 80as portra engedjen be csomagot akkor azt fogja csinálni. Egy csomag önmagában hiába válasz egy kimenõ csomagra, mert nem a kapcsolatot engedélyezi hanem minden csomagra megnézi. Ezért kell a ''state'' szûrõ, ami nyilvántartja a kapcsolatokat.
Az ftp-s dolog meg egy biztonsági beállítás miatt van ami megköveteli az ip címek egyezését és õ nem tudja, hogy ez a kettõ ugyanaz. Rugdosni kellene a klienst, hogy azt az ip-t küldje a port parancsban amelyik ipn a szerver látja. -
VladimirR
nagyúr
válasz
Jester01
#133
üzenetére
igen, kozben sikerult ezt a megoldast megtalalnom (bar ott csak az established-et emlitik), viszont nem ertem, miert dobja el?
az ack csomag uj tcp kapcsolaton jon?
illetve miert van az, hogy az ezen a gepen levo ftp-hez valo kapcsolodaskor olyat dob, hogy port command failed, illetve 500 i won't open a connection to 192.168.0.200 (only to 84.2.135.27) (elobbi a kliens (amivel csatlakoznek az imenti iptables beallitasokkal rendelkezo szerver ftp-jehez) privat, utobbi a publikus cime)
log-ban ilyenek vannak:
Jan 8 23:22:47 cyla kernel: port_IN=ppp0 OUT= MAC= SRC=84.2.135.27 DST=81.182.127.129 LEN=64 TOS=0x00 PREC=0x00 TTL=124 ID=63012 DF PROTO=TCP SPT=3118 DPT=31303 WINDOW=65535 RES=0x00 SYN URGP=0
p.s.: koszonom a segitseget -
Jester01
veterán
válasz
VladimirR
#132
üzenetére
Az a baj, hogy a kifelé kezdeményezett kapcsolatokra érkezõ választ is eldobod. A példádban a lokális 3422-es portról kapcsolódtál a ph! 80-as portjára, így az onnan érkezõ válaszcsomag a 3422-es portra irányul ezt pedig letiltottad.
Megoldásként például:
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Fapadosabb és kevésbé biztonságos (viszont nem olyan erõforrásigényes), ha az 1024 feletti portokra engedélyezed a kapcsolódást. -
VladimirR
nagyúr
Hi
szeretnem ugy beallitani az iptableszt, hogy a ppp0 interfeszen keresztul csak ssh es www portokon lehessen bejovo kapcsolat, azon kivul mindent, ami ppp0-rol jon, azt dobja el
ezt en ugy csinaltam (volna), hogy accept policy (lan miatt), aztan 1 szabaj, ami beengedi a dns csomagokat (sport udp 53), 2 szabaj, ami beengedi a tcp 22-re es 80-ra jovo kapcsolatokat, majd a vegere egy drop (persze ezek mind ppp0-ra)
kifele accept policy van, az ugy jo
viszont ennek koszonhetoen, bar a gephez kapcsolodni tudok, onnan egy sima weblaplekeres sem akar mukodni
syslog-ban ilyen sorok vannak, ha pl a ph-t akarom megnezni
Jan 8 22:08:23 cyla kernel: td_IN=ppp0 OUT= MAC= SRC=217.27.219.4 DST=81.182.127.129 LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=0 DF PROTO=TCP SPT=80 DPT=3422 WINDOW=5792 RES=0x00 ACK SYN URGP=0
kerdesem az volna, hogy mi a baj es mikent szuntethetnem meg
segitsegeteket elore is koszonom
Udv: VladimirR -
Johnsones
tag
sziasztok,
a neten egy generátor segítségével generáltam egy szkriptet. [link]
Minden nagyon szépen működik, de a webserver nem működik. Hiába adtam meg a portot és az ipcímet nem megy.
Csináltam egy olyan szkriptet, ahol csak ez a port forward van, de nem megy. A fentiekből okulva ezt írtam a port forward részhez.
iptables -t nat -A PREROUTING -p tcp -i eth0 -d <router.IP.cime> --dport 80 -j DNAT --to <webserver.IP.cime:port>
es utana:
iptables -A FORWARD -p tcp -i eth0 -d <webserver.IP.cime> --dport 80 -j ACCEPT
Mit rontok el??
Ha esetleg van valakinek 5lete kérem ossza meg...
köszi -
Amper
tag
válasz
Johnsones
#128
üzenetére
Az INPUT, FORWARD és OUTPUT ág nyitva van.
MOD:
Inkább így reseteld:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -Z INPUT
iptables -Z FORWARD
iptables -Z OUTPUT
iptables -t nat -Z
És így kezd:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Ezek után írd meg a szabályokat.
Jó lenne még loggolni is:
[Szerkesztve] -
Johnsones
tag
Sziasztok,
kezdő Debianos vagyok.
Van egy gép amin a következő Iptables variáció van.
Légyszi írjátok meg, h mi a meglátásotok erre?
Biztonságos ez a megoldás?
köszi
#!/bin/bash
#PATH=/usr/local/sbin/:/usr/local/bin/:/usr/sbin/:/usr/bin/
case ''$1'' in
start)
echo ''----------------------------------------------''
echo ''A tűzfal inicializálása...''
localnet=''192.168.0.0/24''
#net= ''eth1''
#lan= ''eth0''
# pucolas
iptables -F
iptables -X
iptables -t nat -F
echo ''Takaritas''
# default
#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT ACCEPT
#echo ''Default''
## loop
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
#echo ''lo''
# INPUT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo ''FORWARD''
iptables -t nat -A POSTROUTING -o eth1 -s $localnet -j MASQUERADE
# MODULOK BETOLTESE
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_filter
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 21 -j DNAT --to 192.168.0.2:21
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 110 -j DNAT --to 192.168.0.2:110
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 25 -j DNAT --to 192.168.0.2:25
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 3389 -j DNAT --to 192.168.0.2:3389
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 1219 -j DNAT --to 192.168.0.113:1219
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 3390 -j DNAT --to 192.168.0.4:3390
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 5800 -j DNAT --to 192.168.0.4:5800
iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 3200 -j DNAT --to 192.168.0.2:32000
#iptables -t nat -A PREROUTING -d 195.38.108.80 -p tcp --dport 21 -j DNAT --to 192.168.0.2:21
iptables -A INPUT -p tcp -i eth1 --dport 3128 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 3126 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 137 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 138 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 139 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 137 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 138 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 139 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 445 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 445 -j DROP
echo ''A tuzfal kesz!''
echo ''----------------------------------------------''
;;
stop)
[Szerkesztve] -
Jester01
veterán
Debian alatt az /etc/network/interfaces fájlba közvetlenül is bele lehet írni a megfelelő interface-hez:
# A more complicated ethernet setup: (the ''up'' lines are executed verbatim
# when the interface is brought up, the ''down'' lines when it's brought down)
#
# iface eth0 inet static
# address 192.168.1.42
# network 192.168.1.0
# netmask 255.255.255.128
# broadcast 192.168.1.0
# up route add -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2
# up route add default gw 192.168.1.200
# down route del default gw 192.168.1.200
# down route del -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2 -
kymco
veterán
Sikerült reggel átgondolva a tanácsokat és a topológiát a route paranccsal beállítani átjárónak a novelles gép azt a hálókártyáját, ami a linux-al van összekötve, és innen kezdve megy minden. Hálásan köszönöm a segítséget....
Újabb kérdésem, hogy mit tegyek, hogy a route által (és az iptables által) történt új beállítások a linuxos gép újraindításával ne vesszenek el? -
Jester01
veterán
Hmm, ha a UG akkor valószínűleg nem * van a második oszlopban. Ha mégis, akkor nem jó, és addig rugdosd amíg ott a novelles gép ipje (172.16.10.128) nem lesz. A parancsot L3zl13 írta a #107ben. Gondolom a novelles gép 10-es hálókártyájára van dugva a linux.
Kb ilyen route tábla kellene:
172.16.10.0 * 255.255.255.0 U 0 0 0 eth0
172.16.11.0 172.16.10.128 255.255.255.0 UG 0 0 0 eth0
172.16.12.0 172.16.10.128 255.255.255.0 UG 0 0 0 eth0
10.10.10.0 * 255.255.255.0 U 10 0 0 eth1
default 10.10.10.1 0.0.0.0 UG 10 0 0 eth1 -
-
kymco
veterán
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.12.0 * 255.255.255.0 U 0 0 0 eth0
172.16.11.0 * 255.255.255.0 U 0 0 0 eth0
172.16.10.0 * 255.255.255.0 U 10 0 0 eth0
10.10.10.0 * 255.255.255.0 U 10 0 0 eth1
default 10.10.10.1 0.0.0.0 UG 10 0 0 eth1
És nem megy a pingelés.....
sem.
[Szerkesztve] -
kymco
veterán
A novelles szerver csak default gateway, nem NAT-ol.
Azt hiszem, hogy nincs beállítva a routing tábla megfelelően.
Most példát mondok.
Linux gépen ETH_0 (172.16.10.100/255.255.255.0) (lokális hálózat)
ETH_1 (Dinamikus IP) INTERNET
NOVELL ETHER1 172.16.10.128/255.255.255.0
ETHER2 172.16.11.128/255.255.255.0
ETHER3 172.16.12.128/255.255.255.0
A három ágon a PC-k rendre 172.16.1x.xxx/255.255.255.0
címmel rendelkeznek.
Az IP címzés adott, nem igen lehet változtatni rajta, adminisztratív okokból igen nehézkes.
route parancsra a linux beállítása az, hogy az eth_1 a gateway és az eth_0 keresztül a 172.16.10.0 hálózat van beállítva. Én hozzávettem a 172.16.11.0 és a 172.16.12.0-t is, de akkor sem megy.
Az iptablest teljesen kiiktattam (nem is szűrő, hanem átemelő) (minden acces (filter -input, -output, -forward; mangle; nat)), de még mindig nem megy a másik kettő ágról. -
L3zl13
nagyúr
A novelles szerver ugye nem NAT-ol az ágak között, csak default gateway?
A linuxos gépen be van állítva a routing táblába, hogy a másik két ágon lévő gépek ip tartományához a novell szervernek ezen (a linux szerverrel megeggyező ágon lévő) lábának IP-jét használja GW-nek?
[Szerkesztve] -
kymco
veterán
A syslogban ráakadtam egy ''martian source'' üzenetre egy olyan gép IP címe mellett, amivel rá szeretnék menni a linuxra.....sikertelenűl.
A google hun keresése azt adta, hogy valami konfigurációs hiba..... De nem tudom, hogy mi.....
A lényeg az, hogy van egy ADSL internet és egy belső novelles hálózat. A novelles szerver 3 hálókártyán kommunikál a kb 70 géppel, és az egyik ilyen ágra tettem a proxyt. No, ezen az ágon levő gépek klasszul használják a proxyt, de a másik kettőn nem.
Be vannak állítva a Novelles szerver hálókártyái átjárónak, pingelve a különböző ágak gépei látják egymást.... csak a proxy nem megy az ágak között. Ezért is gondolom, hogy ez iptables konfigurációs probléma (telepítési beállítások), de nem tudom megoldani..... -
Jester01
veterán
Ha dabadab megoldása sem jó, akkor íme egy újabb javaslat:
iptables -I FORWARD -s 192.168.1.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -j DROP
Csak azt nem értem, hogy az én elsõ javaslatom hatására miért ment még mindig az internet? Az vili, hogy a belsõ hálót tiltotta, de elvileg minden átmenõ forgalmat tiltania kellett volna. Vajon melyik láncon megy az internet felé? -
vtechun
veterán
teahet a szerverben 3 halokartya van, egyiken megy az adsl, masik ketto meg 1-1 gepre csatlakozik, 2 kulon alhálozaton, egyik 192.168.0.0, masik 192.168.1.0 es ez utobbi netelérését szeretném megakadályozni. De még eddig nem akart menni, pedig iptables -F el uritettem elotte a listat...
-
-
Jester01
veterán
Akkor ott valami furcsa topológia van, de legalábbis nem az, amire én gondoltam.
Úgy képzeltem, hogy van egy rakat gép egy helyi hálón amik egy/több switchen látják egymást, illetve van egy firewall gép, amin keresztül neteznek. Ebben a konfigban a firewallon eleve nem is lehet tiltani a helyi hálót, mert nem megy rajta keresztül. Az internetet viszont nálam ez remekül letiltja. -
PWR
aktív tag
Hello, a -m owner --cmd-owner után meg lehet adni processznevet vagy a pid-owner után processz ID-t (ez esetben kell 1 kis szkript, ami megmondja a progi pid-jét).
pl:
iptables -A OUTPUT -p tcp -m owner --cmd-owner firefox-bin -j ACCEPT
Vagy 1xüen bezárod azokat a portokat, melyekre az alkalmazás kapcsolódik. Illetve ki se nyitod öket. -
-
PWR
aktív tag
hat ilyet meg nem csinaltam... szerintem müködnie kell, ha forditva csinalod a forgalmat a FW lancon:
iptables -A FORWARD -i eth1 -o eth0 -d <külsö.server.IP.cime> -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s <külsö.server.IP.cime> -j ACCEPT
es a maszkolasban nem vagyok biztos, de itt SNAT-ra van szükseg, hiszen a külsö servernek a router cimet kell latnia, azaz a forras IP-t kell NAT-olni:
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d <külsö.server.IP.cime> -j SNAT --to-source <router.IP.cime>
De ebben nem vagyok biztos, nem probaltam ki es nem vagyok olyan helyen, ahol ki tudnam. Nezz szejjel iptables SNAT ügyben, ezzel tutira meg lehet oldani. -
L3zl13
nagyúr
De mint írtam nem akarok teljes Masq-ot. (Az már most is megvan, de nem akarom engedélyezni mindenkinek, ráadásul az kellene hozzá, hogy a linuxos gép legyen a default gateway. Márpedig nem az.)
Nekem az kellene hogy a benti háló tetszőleges gépe, a linuxos tűzfalgép valamielyik belső portjára csatlakozva egy külső gépen lévő szolgáltatást lásson.
Tehát ugyanaz, mint amikor kívülről látszólag a tűzfal gép, vagy router bizonyos portján fut egy szolgáltatás, de valójában csak továbbítva van egy benti gépre.
Nekem ugyanez kellene, csak bentről kifelé. Alkalmazás proxykkal meg tudom oldani, de érdekelne, hogy hogyan lehetne ilyet iptablessel. -
PWR
aktív tag
a SuSE firewall-t nem ismerem, iptables-el igy lehet megcsinalni:
Itt az eth0 az Internetre kapcsolodo NIC es az eth1 pedig a helyi halo fele.
Elöször a postrouting. Ez maszkolja a belsö halo gepeinek IP cimet:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Utana a FORWARD lancon engedelyezni kell a forgalmat az Internet es a belsö halo között. Itt egy 1xü szüres is van, azaz csak belülröl kezdemenyezhetö kifele kapcsolat (ha van a belsö halon server, ami elerhetö kell legyen az Internet felöl, akkor a port forwarding is kell):
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
ez kell a kernel forwarding engedelyezesehez:
echo 1 > /proc/sys/net/ipv4/ip_forward
Ja, erdemes alapertelmezett DROP policy-t tenni a FORWARD lancra (is) es kitörölni minden lancszabalyt (ez a ket sor mindenkepp az elözöwek elött legyen):
iptables -P FORWARD DROP # alapertelmezett DROP szabaly
iptables -F FORWARD # esetleges meglevö lancszabalyok törlese -
PWR
aktív tag
-
jeszi
tag
iptables -I FORWARD -d 192.168.0.2 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
parancs után...
Hiába, az iptables-save kimenete akkor is ilyen marad:
.
.
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.0.2 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
.
. -
-
L3zl13
nagyúr
-
jeszi
tag
(Debian)
Új szabályt akarok beírni a tűzfalhoz.
Az a baj, hogy ha konzolba beírom az új szabályt, akkor az a következő szabály után található:
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
Viszont ez a szabály már minden csomagot eldob.
Próbáltam így:
iptables-save > tuzfal
beleirtam a megfelelo helyre a szabalyt
cat tuzfal | iptables-restore
Aztán iptables-save és még mindig nem jó a sorrend. Nem igazán értek ehhez, de valahol biztosan megvannak egy file-ban ezek a szabályok. És talán úgy könnyebb szerkeszteni.
Egyébként port forwardot szeretnék beállítani, de ez egyenlőre túl nagy feladat nekem -
L3zl13
nagyúr
Van egy SuSE 8.2 gép ami proxyként/átjáróként is működik.
Szeretném, hogy ha az egyik belső portra érkező forgalmat továbbítaná egy konkrét külső szerver megadott portjára, persze natolással egybekötve, oda vissza.
(Azaz a belső gép úgy lássa, mintha a szolgáltatás a tűzfalon futna, a külső szerver, meg úgy, mintha a tűzfal kapcsolódna hozzá.)
Szóval pont úgy, mint a szokásos tűzfal mögötti web/mail stb szerver, csak ezúttal a külső és belső oldal fel van cserélve.
Simán MASQ-al működne, de ahhoz az kellene, hogy az említett gép legyen a default gateway. (És nem az.)
Régebben egy kis proxy programmal csináltam már ilyet, de ha lehet szeretném megoldani külön progi nélkül.
SuSE lévén legjobban egy SuSEfirewall konfig formátumú megoldásnak örülnék, de IPtables is jól jönne azért.
Vagy jó volna valami ötlet, hogy hogyan lehetne erre a problémára rákeresni. Mert az általános IPtables és SuSEFirewall leírásokban és helpekben nincs benne.
[Szerkesztve] -
L3zl13
nagyúr
Már korábban is írtam, hogy nem tudom, mert nem ismerem ki magam az iptables szintaktikában, mert a SuSE-t használok, és csak SuSEFirewallon keresztül konfigolom az iptablest.
Az érdekelne inkább, hogy te hogy állítottad be eddig az iptablest, ha korlátozni, átirányítani, pre és postroutingolni tudsz, de sima acceptet nem tudsz csinálni?
(Én se tudok de én nem is használom az iptablest. )
Tudtommal vannal iptableshez segédprogik/varázslók amivel lehet könnyen konfigolni. Egy ilyet szerezzél, és próbálkozz milyen szabályokat generál...
Neki állhatnék most én is, hogy törlöm az összes szabályt, bekonfigolom SuSEFW-n keresztül amit szeretnél, és bemásolnám neked az iptables szabályokat, de nem akarok kisérletezgetni a szerveren, másik gép meg nincs kéznél. (Ha lenne helyem, összedobnék egyet VMWare-ban... ) -
vtechun
veterán
a 2 winxp-s kliensen VLC-vel akarunk filmet nézni úgy , hogy az egyik nyomja ki ahálóra a filmet multicast, tehár 224.*.*.* ip-vel, és az a gond, hogy ezt nem nagyon akarja átengedni a linux, ezt meg lehet oldani iptablessel? Azért kellene multicast, mert csak akkor megoldható, hogy egyszerre menjen mindkét gépen a cucc. Ezt meglehet oldani valahogyan?
-
L3zl13
nagyúr
Beraksz egy drop policy-t azokra a cuccokra, ahol aforrás IP az amit tiltani akarsz.
Vagy csak azokra állítod be a forwardolást/NAT-ot, amelyekre engedélyezni akarod.
Szintaktikát sajnos nem vágom, mert SUSE-t használok, és a SuSEFirewall saját scriptnyelvén keresztül vezérlem az iptablest...
[Szerkesztve] -
vtechun
veterán
na! még egy kérdés, a netosztó gépemen a következő a konfig és probléma: Bővebben: link az érdekelne, hogy mit kellene beírni az iptables szabályokhoz, hogy a helyi hálzat gépeit ne szűrje ki vagy valami ilyesmi, mert lehet, hogy az iptables miatt van gond..., mert ''szinte'' nem is látjuk egymást , pingelni tudjuk egymást jol de nagyon lassú bármilyen más kapcsolat...
-
vtechun
veterán
gondolom a netosztó a linuxos gép. nálam így működik a a port továbbítás:
pl. a dc-hez, de szerintem neked is így kellene beírnod...
iptables -I FORWARD -p tcp -d 192.168.0.10 --dport 1412 -j ACCEPT
iptables -I FORWARD -p udp -d 192.168.0.10 --dport 1412 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1412 -j DNAT --to 192.168.0.10:1412
iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 1412 -j DNAT --to 192.168.0.10:1412
itt udp és tcp portra is megvan csinálva, de nálad szerintem elég lenne csak a tcp, bár mittomén, és így én aktiv tudok lnni dc-ben...
a portok ill. ip-k helyére a nálad megfelelőt kell írni, de gondolom erre magadtól is rájöttél... -
zither
csendes tag
Hali!
Ha esetleg valaki tudna segiteni iptables kerdesben annak orulnek.
Egy iptables alapu tuzfalat konfiguralok fel. Nem is volt semmi problemam egesz addig amig port forwarding-ra nem lett szuksegem. Hozzadtam a tablakhoz az
''iptables -t nat -A PREROUTING -d $PUB_IP -p tcp --dport 110 -j DNAT --to 192.168.100.2'' szabalyt... semmi. ($PUB_IP a publikus IP cimet adja). Aztan megprobaltam lecserelni a fentebb is irt ''iptables -t nat -p tcp -i ppp0 --dport 110 -j NAT --to 192.168.0.65:110'' szabalyra. Meg mindig semmi. Vegul az osszes szabalyt eltavolitottam a ROUTING, INPUT, es OUTPUT sorokbol, igy biztosan semmi nem blokkolhatja a port tovabbitast. Azonban meg mindig semmi.
A celgepen a szolgaltatas mukodik (ellenoriztem telnettel es levelezo programmal is) ugyhogy nem igazan tudom mi lehet a problema. Elmeletileg barmelyik szaballyal mukodne kene, hogy a 110-es portra bejelentkezve (kivulrol) hozzáferhessek a szolgaltatashoz, azonban ez megse mukodik, ''Connection Refused'' uzenetet ad.
Ha valaki tud valami okosat, kerem irjon. -
vtechun
veterán
Hello! A linuxos gépemen forwardolva van 2 port... az egyik a dc-nek a másik pedig a Bitcomet-nek (torrentkliens).. na ha Bitcomet fut akkor nagyon gáz lesz a dc upload szinte semmi, vagyis mindig lenullázódik, letölteni is sz@rul tölt olyankor, szinte olyan mintha nem is lennék aktiv, és még lassú is... Ez mi miatt lehet? Ennyit eszik a Bitcomet? (azon közben jönnek jól a cuccok) De miért van ez így, miért élvez nagyobb prioritást a Bitcomet? Nem lehet linux alatt megoldani, hogy az a port ahova a DC van forwardolva az nagyobb prioritást élvezzen? vagy valami más mnegoldás (lehetőleg ingyenes) , nem kell, hogy iptables legyen....
-
PWR
aktív tag
hello, az ssh-hoz engedelyezd a 22-es portra valo kapcsolodast (azon a gepen, amire kapcsolodni szeretnel, ha nem routeren keresztől megy a dolog: IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT, ezt kiegeszitheted mondjuk source IP-vel, ha mindig ugyanonnan akarsz kapcsolodni).
a masik problemarol (ftp) fogalmam sincs... -
vtechun
veterán
Hello! Érdekelne még valami! A kis helyi hálómon a linuxos szerveren kívül van még 2 wines gép is. A 2 gép között ftp-n csak 100-200 kbyte/sec-es sebességgel tudunk másolni? Mi miatt lehet ez? Más! Ha az iptables inditoscriptjeben kikommmentezem ezt:
iptables -I FORWARD -p tcp -d 192.168.0.10 --dport 1413 -j ACCEPT
iptables -I FORWARD -p udp -d 192.168.0.10 --dport 1413 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1413 -j DNAT --to 192.168.0.10:1413
iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 1413 -j DNAT --to 192.168.0.10:1413
ez teszi aktívvá a dc-met akkor gyorsan müködik a 2 win-es gép között a VNC, az FTP-re nincs hatással...ez mi miatt lehet? Mi a megoldás mindkét problémára? egyáltalán mihez van köze? -
Flashy
veterán
nemazér kérdeztem, el is nézhetted a számokat.
kipróbáltam én is az önmegtámadást és minden portra azt mondja hogy láthatatlan, még arra is amin van szolgáltatás, úgyhogy asszem ez még nem működik.
de van erre gyalogmódszer is. kimész egy kinti szerverre, aztán telnettel jössz befele a maszkoló géped adott portjára. próbáld ki, mást fogsz látni láthatatlan, mást zárt és mást nyitott portra. ugyanezt csinálja a tűzfalteszt is amúgy csak avtomatán. -
Flashy
veterán
ha a maszkoló gépen is van ftp szerver, akkor forwardold be pl egy másik portját a belső gép 21-es portjára. pl a 2121-et. a lényeg hogy legyen 1024 fölött. kintről ilyenkor a maszkoló gép 2121-es portjára ftpzel, ami ugye össze lesz drótozva a belső gép 21-es portjával és így menni fog.
amúgy ftp szerverben be lehet állítani hogy hol figyeljen, de mivel nem csak a belső gép azonos portjára lehet beküldeni, mindegy hogy a benti hol figyel. -
vtechun
veterán
na meg az érdekel, hogy ha mondjuk csinálok a maszkolt gépen egy ftpszervert a szabványos 21-es porttal akkor ezt kell forwardolni iptablessel? és mi van ha fut azon is ftpszerver ugyanezen porton, vagy a kliens(maszkolt) gépen futó ftpszerverben be lehet állítani, hogy melyik portot figyelje?
-
Flashy
veterán
ha a port nincs beforwardolva akkor a szervereden/routereden futó ftpszerverhez tudsz kapcsolódni, ha be van forwardolva akkor ez a port egy az egyben át van irányítva bentre, tehát ekkor a benti gép fog válaszolni, a kinti gépen hiába fut ftpszerver. nemtom mennyire érthető, próbálok máshogy fogalmazni
-
Flashy
veterán
az internetről csak a maszkoló géped látszik az ő publikus IP címével. a fenti sor annyit csinál, hogy ami a maszkoló géped adott portjára érkezik, azt egy az egyben átküldi a belső gép adott portjára. kintről te a maszkoló gépre ftpzel, de a port forwardon keresztül ez igazából a benti elrejtett gépre megy.
-
-
vtechun
veterán
Hello! Gondoltam indítok én is egy ''nagy'' topicot. Azt szeretném, ha mindenki aki használja ezt a programot írjon róla valamit, amit ért, pl. írjon le egy szabályt és, hogy az mit csinál. Meg persze lehet kérdezni is, mint ahogy én is kérdezek egyet így elsőre: Hogy lehet azt megcsinálni, ha meglehet egyáltalán, hogy egy maszkolt gépen (amit a linuxos gép maszkol iptables segítségével) fusson valamilyen szerver amire az internetről rá lehet csatlakozni. pl, ftp, web, ssh....
Egyelőre ennyi! Remélem nem hal be hamar ez a fórum
)
. Alap, de a semminél több. Igy néz ki:
Az iptables alapból csomagszûrõ. Ha azt mondtad neki, hogy csak a 22es és 80as portra engedjen be csomagot akkor azt fogja csinálni. Egy csomag önmagában hiába válasz egy kimenõ csomagra, mert nem a kapcsolatot engedélyezi hanem minden csomagra megnézi. Ezért kell a ''state'' szûrõ, ami nyilvántartja a kapcsolatokat.
Új hozzászólás Aktív témák
Hirdetés
- Android alkalmazások - szoftver kibeszélő topik
- Luck Dragon: Asszociációs játék. :)
- 3D nyomtatás
- Milyen TV-t vegyek?
- Autóápolás, karbantartás, fényezés
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Horgász topik
- VoidXs: Tényleg minden játék optimalizálatlan?
- Spórolós topik
- TCL LCD és LED TV-k
- További aktív témák...
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Sea of Thieves Premium Edition és Egyéb Játékkulcsok.
- Vírusirtó, Antivirus, VPN kulcsok
- Bitdefender Total Security 3év/3eszköz! - Tökéletes védelem, Most kedvező áron!
- Eladó Steam kulcsok kedvező áron!
- LG 27GR95QE - 27" OLED / QHD 2K / 240Hz & 0.03ms / NVIDIA G-Sync / FreeSync Premium / HDMI 2.1
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5070 GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Asus ROG Flow Z13 + ROG XG RTX 3070 - i9 12900H 16GB DDR5 RAM 1TB SSD + RTX 3070 8GB WIN
- Samsung Galaxy S22 128GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone SE 16GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest