[GUIDE] Iptables för din VPS

Almänna diskussioner, tips m.m. om virtualisering
matty
Inlägg: 2
Blev medlem: 25 feb 2010, 12:14

Re: [GUIDE] Iptables för din VPS

Inläggav matty » 25 feb 2010, 12:25

Hej!
Jag har lite problem med mitt vpn nätverk tillsammans med iptables.
Det som är problem är att jag inte kan komma åt några datorer/servers på vpn nätet när jag är ansluten emot vpn servern om jag har iptables igång, men om jag stänger av så fungerar det jätte bra. Kan inte ens pinga openvpn servern(10.0.0.1) när jag har iptables igång, men kan när jag har stängt av. Så det måste vara någon simpel regel i brandväggen, har provat följande utan resultat:

Kod: Markera allt

iptables -A INPUT -i tap0+ -j ACCEPT
iptables -A FORWARD -i tap0+ -j ACCEPT


Mvh Mattias

Användarvisningsbild
Jonas
Inlägg: 117
Blev medlem: 17 aug 2009, 16:41
Ort: Stockholm

Re: [GUIDE] Iptables för din VPS

Inläggav Jonas » 26 feb 2010, 12:47

Är VPN-servern på din VPS?
tap0+? Är det inte bara tap0 utan plus?
Mvh
Jonas, Internet Engineer - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

matty
Inlägg: 2
Blev medlem: 25 feb 2010, 12:14

Re: [GUIDE] Iptables för din VPS

Inläggav matty » 26 feb 2010, 19:23

Yes, servern ligger på en VPS hos Glesys.

Provat:

Kod: Markera allt

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT

Som du sa, men inget förändrades.

Det ska väl inte till något annat för att det ska fungera?

Kod: Markera allt

tap0      Link encap:Ethernet  HWaddr 22:fc:22:16:e1:cd
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0

Jag märkte nu att det går pinga klienter från servern, men inte tvärt om.
Allt som ska till 10.0.0.0/24 nätet verkar droppas..

mats_roland
Inlägg: 1
Blev medlem: 14 sep 2010, 21:50

Re: [GUIDE] Iptables för din VPS

Inläggav mats_roland » 14 sep 2010, 21:54

Tack för lättanvänd guide!

Hur ser man till att ändringarna är med vid start på Centos?
Alltså motsvarande "update-rc.d fw.sh defaults"?

MVH
Mats

Användarvisningsbild
Jonas
Inlägg: 117
Blev medlem: 17 aug 2009, 16:41
Ort: Stockholm

Re: [GUIDE] Iptables för din VPS

Inläggav Jonas » 15 sep 2010, 09:09

Kolla vad som startar: chkconfig --list
Kolla om reglerna är körda (efter omboot): iptables -L
Mvh
Jonas, Internet Engineer - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

MartinG
Inlägg: 6
Blev medlem: 14 jan 2011, 07:22

Re: [GUIDE] Iptables för din VPS

Inläggav MartinG » 16 jan 2011, 19:57

Kanonguide - tackar! Har dock ett problem med Ubuntu 10.04 64-bit

Stefan skrev:[size=150]När du tror att du fått allt rätt så är det dags att testa, skriv in:

Kod: Markera allt

iptables-restore /usr/local/scripts/fw


Iptables läser då in reglerna från filen vi skapat. När detta är klart så kan du kolla med följande kommando hur iptables är konfigurerat.


Detta ger felmeddelande:

FATAL: Could not load /lib/modules/2.6.18-194.17.1.el5.028stab070.7/modules.dep: No such file or directory

Lite sökning på nätet gav inte mycket, hittade dock en polsk tråd om det där det stod att det rörde OpenVZ och att det inte var mycket man själv kunde göra utan skulle vända sig till admin (detta tolkat via en automatisk översättning så jag reserverar mig något...).

Ngn idé?

/Martin

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 17 jan 2011, 09:35

MartinG skrev:Kanonguide - tackar! Har dock ett problem med Ubuntu 10.04 64-bit

Stefan skrev:[size=150]När du tror att du fått allt rätt så är det dags att testa, skriv in:

Kod: Markera allt

iptables-restore /usr/local/scripts/fw


Iptables läser då in reglerna från filen vi skapat. När detta är klart så kan du kolla med följande kommando hur iptables är konfigurerat.


Detta ger felmeddelande:

FATAL: Could not load /lib/modules/2.6.18-194.17.1.el5.028stab070.7/modules.dep: No such file or directory

Lite sökning på nätet gav inte mycket, hittade dock en polsk tråd om det där det stod att det rörde OpenVZ och att det inte var mycket man själv kunde göra utan skulle vända sig till admin (detta tolkat via en automatisk översättning så jag reserverar mig något...).

Ngn idé?

/Martin


Hej ditt skript: /usr/local/scripts/fw

har den mellanslag innan texten börjar på varje rad, jag har märkt att detta varit problem för vissa. När man tar "KOD: MARKERA ALLT" så kopieras lite mellanslag innan texten skrivs in, likt:

Kod: Markera allt

         -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
         -A INPUT -p tcp -m tcp --dport 43 -j ACCEPT
         -A INPUT -p udp -m udp --dport 43 -j ACCEPT
         -A INPUT -p udp -m udp --dport 53 -j ACCEPT
         -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT


Om detta är felet så ta bort alla mellanslag så -A etc står först i raden och prova igen.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

MartinG
Inlägg: 6
Blev medlem: 14 jan 2011, 07:22

Re: [GUIDE] Iptables för din VPS

Inläggav MartinG » 17 jan 2011, 09:54

Stefan skrev:Hej ditt skript: /usr/local/scripts/fw

har den mellanslag innan texten börjar på varje rad, jag har märkt att detta varit problem för vissa. När man tar "KOD: MARKERA ALLT" så kopieras lite mellanslag innan texten skrivs in, likt:


Nix, tog bort mellanslagen innan jag lade in det så de är borta.

MEN, det visade sig vara felaktiga radslut i filen som orsakade detta. Ber om ursäkt för förvirringen, och tackar för hinten!

/Martin

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 17 jan 2011, 11:23

Ah skönt att det löste sig!
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

carl-joel
Inlägg: 6
Blev medlem: 26 aug 2010, 09:40

Re: [GUIDE] Iptables för din VPS

Inläggav carl-joel » 02 feb 2011, 12:52

Hej!

Jag har problem med att använda fopen i php (php.ini konfigurerad med allow_url_fopen=on) med Iptables utgått från denna guide.
Tar jag bort alla regler i iptables så fungerar fopen.
Kör jag med iptables så fungerar inte fopen.

Jag har iptables konfigurerat såhär

Kod: Markera allt

*mangle
:PREROUTING ACCEPT [444:43563]
:INPUT ACCEPT [444:43563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [402:144198]
:POSTROUTING ACCEPT [402:144198]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
COMMIT

*filter
:INPUT DROP [1:242]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOG_DROP - [0:0]
:LOG_ACCEPT - [0:0]
:icmp_packets - [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -j icmp_packets
-A INPUT -j DROP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -p icmp -j icmp_packets
-A OUTPUT -j DROP
COMMIT


Någon som har en aning om vad som kan fela här och vad som behövs ändras i min iptables konfiguration för att få fopen att fungera?


Återgå till "Allmänt"

Vilka är online

Användare som besöker denna kategori: 1 och 0 gäst