[GUIDE] Iptables för din VPS

Almänna diskussioner, tips m.m. om virtualisering
Rövarn
Inlägg: 13
Blev medlem: 30 jan 2008, 12:17

Re: [GUIDE] Iptables för din VPS

Inläggav Rövarn » 11 feb 2008, 14:28

Jag har nu fått DirectAdmin installerat och det verkar funka fint, sånär som på en detalj. Jag kommer inte åt sidornas mappar via ftp utifrån, endast med DirectAdmin's inbyggda filhanterare.

En av raderna i proftpd.conf ser ut så här:

Kod: Markera allt

PassivePorts      35000 35999


Behöver jag göra något i Iptables för att öppna detta portspann för att kunna komma åt webbplatserna via något externt ftp-program?

Micke

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 11 feb 2008, 14:36

Kör du ftp i aktivt läge så behöver du inte göra några ändringar. Det går vanligtvis att välja om man vill köra i active respektive passive mode. För att passive skall fungera så måste du öppna de portar som du i ditt fall specificerar i proftpd.conf.

något i stil med nedanstående borde fungera:
-A INPUT -p tcp -m tcp --dport 35000:35999 -j ACCEPT
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Rövarn
Inlägg: 13
Blev medlem: 30 jan 2008, 12:17

Re: [GUIDE] Iptables för din VPS

Inläggav Rövarn » 11 feb 2008, 14:49

Och hur ställer jag proftpd i aktivt läge?

Här är proftpd.conf som den ser ut nu:

Kod: Markera allt

ServerName      "ProFTPd"
ServerType             standalone

Port         21
PassivePorts      35000 35999
UseReverseDNS      off
TimesGMT      off
TimeoutLogin      120
TimeoutIdle      600
TimeoutNoTransfer   900
TimeoutStalled      3600

ScoreboardFile         /var/run/proftpd/proftpd.pid

TransferLog      /var/log/proftpd/xferlog.legacy
LogFormat      default "%h %l %u %t \"%r\" %s %b"
LogFormat      auth    "%v [%P] %h %t \"%r\" %s"
LogFormat      write   "%h %l %u %t \"%r\" %s %b"

#DON'T modify this log format.  Its used by DirectAdmin to determine user usage
LogFormat      userlog "%u %b"
ExtendedLog      /var/log/proftpd/79.99.6.178.bytes WRITE,READ userlog

AuthUserFile                    /etc/proftpd.passwd
DefaultServer      on

#AuthPAM off

<IfModule mod_tls.c>
   TLSEngine on
   TLSLog /var/log/proftpd/proftpd.tls.log
   TLSProtocol TLSv1
   TLSVerifyClient off
   TLSRequired off
   
   #Certificates
   TLSRSACertificateFile /etc/exim.cert
   TLSRSACertificateKeyFile /etc/exim.key
   #TLSCACertificateFile /etc/ftpd/root.cert.pem
</IfModule>

<Global>
   DeferWelcome      on

   RequireValidShell   no

   DefaultRoot      ~
   DirFakeUser on ftp
   DirFakeGroup on ftp

   User         ftp
   Group         ftp
   #UserAlias      anonymous ftp

   AllowStoreRestart   on
   AllowRetrieveRestart   on

   ListOptions      -a

   Umask         022
   DisplayLogin      welcome.msg
   DisplayChdir      readme
   AllowOverwrite      yes
   IdentLookups      off
   ExtendedLog      /var/log/proftpd/access.log WRITE,READ write
   ExtendedLog      /var/log/proftpd/auth.log AUTH auth
   
   #
   # Paranoia logging level....
   #
   #ExtendedLog    /var/log/proftpd/paranoid.log ALL default

</Global>

Include /etc/proftpd.vhosts.conf

Gör jag det i denna eller någon annanstans?

Micke

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 11 feb 2008, 14:59

Det går att köra i aktivt läge som default, du kan göra det som det är nu, välj bara att du skall ta "force active mode" eller liknande i din ftpkient.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Rövarn
Inlägg: 13
Blev medlem: 30 jan 2008, 12:17

Re: [GUIDE] Iptables för din VPS

Inläggav Rövarn » 11 feb 2008, 15:05

OK.

Tipset om tillägget i Iptables fungerade. Tack!

En fråga till: Om jag gör förändringar i reglerna i Iptables, bevöver jag då göra om steg 4 (startrutiner) i guiden i denna tråd eller funkar det ändå?

Micke

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 11 feb 2008, 15:07

perfekt!

Nej om du gör ändringarna i textfilen så behöver du inte göra om startskriptet. Det startskriptet gör är att läsa in reglerna från textfilen, så om du ändrar den så kommer de nya ändringarna automatiskt att läsas in vid uppstarten.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Rövarn
Inlägg: 13
Blev medlem: 30 jan 2008, 12:17

Re: [GUIDE] Iptables för din VPS

Inläggav Rövarn » 11 feb 2008, 15:08

OK, då vet jag!
Tack för snabba svar!

Micke

festis
Inlägg: 1
Blev medlem: 27 feb 2008, 21:31

Re: [GUIDE] Iptables för din VPS

Inläggav festis » 27 feb 2008, 21:41

Hej,

Jag får följande fel när jag försöker få in mina regler.

Kod: Markera allt

sudo iptables-restore /usr/local/scripts/fw
iptables-restore: line 61 failed


Filen fungerar fint här hemma, förvisso under Ubuntu Hardy men det borde väl inte spela någon roll.

Kod: Markera allt

*mangle
:PREROUTING ACCEPT [444:43563]
:INPUT ACCEPT [444:43563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [402:144198]
:POSTROUTING ACCEPT [402:144198]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
COMMIT

*filter
:INPUT DROP [1:242]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOG_DROP - [0:0]
:LOG_ACCEPT - [0:0]
:icmp_packets - [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -j icmp_packets
-A INPUT -j LOG_DROP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 43 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 43 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1863 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 5190 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8500 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53987 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW --dport 33200:33500 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -p icmp -j icmp_packets
-A OUTPUT -j LOG_DROP
COMMIT


Upptäckte även följande

Kod: Markera allt

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name


Tack på förhand.

/petter

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 28 feb 2008, 08:35

Hej om du startar om din server och försöker sen igen får du samma problem då? Det kan hända att inte alla moduler laddades in vid uppstart av din VPS. Om det fortfarande är problem så kontakta supporten.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Lukber
Inlägg: 3
Blev medlem: 06 mar 2008, 19:48

Re: [GUIDE] Iptables för din VPS

Inläggav Lukber » 08 mar 2008, 14:10

Lägger på två små tips so kan vara bra o ha.

Kod: Markera allt

ipaddress=$(/sbin/ifconfig venet0 | grep 'inet addr:' | cut -d: -f2 | awk '{print $1}')

Kod: Markera allt

nameservers=$(/bin/cat /etc/resolv.conf | grep -m4 'nameserver' | awk '{print $2}')

for nameserver in $nameservers; do
       $iptables -A OUTPUT --proto udp --out-interface $wan --destination $nameserver --destination-port 53 -m state --state NEW -j ACCEPT
done


Återgå till "Allmänt"

Vilka är online

Användare som besöker denna kategori: 1 och 0 gäst