[Comm] Linux Gate

[Comm] Linux Gate

[Alexey Morsov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Привет,

Есть необходимость настроить на базе linux-машины gate для
небольшой (30-40 компьютеров) сетки с выходом как в интеренет
через ADSL.
Сейчас сетка выходит в  инет через cisco текущего провайдера
(ADSL будем брать у другого).

Теоритические исследования привели к слудующему порядку действий:
1. На linux-машине ставим две сетевые карты. Одной даем фэйковый
адрес и втыкаем в локальную сеть, другой даем внешний адрес
(который дадут нам с ADSL) и втыкаем в нее ADSL.
2. Поднимаем и настроаиваем iptables так что бы все порты извне
кроме http, ftp и https были закрыты.
3. Указываем в правилах iptables так что бы все запросы из
феёкового пространства адресов форвардились на второй интерфейс.
4. Заводим все http, ftp и  https запросы пользователй на прокси.

И вот тут у меня непонятки... Как можно закинуть (и можно ли) все
запросы по http, ftp, https на прокси (без transparent_proxy)?
Или можно как-то запретить http-трафик в обход прокси (ну т.е.
если у юзера в браузере прописаны настйроки прокси - милости
просим, а если нет - гуляй)?
И еще один вопрос возникает - в машине с двумя сетевыми картами
на какую из них будет посылать обработанный запрос squid? Там
есть опция tcp_outgoing_address но я не уверен что это оно...

Буду очень благодарен за любую помощь ибо мои мозги уже
окончательно плавяться (а покупать еще одну двухзпортовую cisco с
настройкой под ключ не хочется да и дороговато)..

- --
Заранее благодарен,
Алексей
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/w03lanU3DZdZEiwRAgJ6AJ91bidIp20CQSbx1HECEOqnQjUAHACfddWa
x6ofZynJiA/BRsaGuajfuoc=
=DnbO
-----END PGP SIGNATURE-----

Re: [Comm] Linux Gate

[Dmitry Nechaev]

В сообщении от Вторник 25 Ноябрь 2003 15:41 Alexey Morsov написал(a):

>
> Есть необходимость настроить на базе linux-машины gate для
> небольшой (30-40 компьютеров) сетки с выходом как в интеренет
> через ADSL.
> Сейчас сетка выходит в  инет через cisco текущего провайдера
> (ADSL будем брать у другого).
>
> Теоритические исследования привели к слудующему порядку действий:
> 1. На linux-машине ставим две сетевые карты. Одной даем фэйковый
> адрес и втыкаем в локальную сеть, другой даем внешний адрес
> (который дадут нам с ADSL) и втыкаем в нее ADSL.
> 2. Поднимаем и настроаиваем iptables так что бы все порты извне
> кроме http, ftp и https были закрыты.
У тебя есть необходимость держать у себя http/ftp сервера?

> 3. Указываем в правилах iptables так что бы все запросы из
> феёкового пространства адресов форвардились на второй интерфейс.
> 4. Заводим все http, ftp и  https запросы пользователй на прокси.
iptables -A PREROUTING....

>
> И вот тут у меня непонятки... Как можно закинуть (и можно ли) все
> запросы по http, ftp, https на прокси (без transparent_proxy)?
Просто закрываешь форвард по портам 20, 21, 80 и 443.

> Или можно как-то запретить http-трафик в обход прокси (ну т.е.
> если у юзера в браузере прописаны настйроки прокси - милости
> просим, а если нет - гуляй)?
Так и выйдет.

> И еще один вопрос возникает - в машине с двумя сетевыми картами
> на какую из них будет посылать обработанный запрос squid? Там
> есть опция tcp_outgoing_address но я не уверен что это оно...
squid послыает запрос на хост, а пакеты на этот хост идут в соответствии с 
таблицей маршрутизации ядра. Плясать с бубном тут вовсе не нужно.

>
> Буду очень благодарен за любую помощь ибо мои мозги уже
> окончательно плавяться (а покупать еще одну двухзпортовую cisco с
> настройкой под ключ не хочется да и дороговато)..
ничего трудного тут нет.

-- 
2.4.20-alt5-up GNU/Linux

[Comm] Re: Linux Gate

[Денис Смирнов]

On Tue, Nov 25, 2003 at 03:41:09PM +0300, Alexey Morsov wrote:

 > Есть необходимость настроить на базе linux-машины gate для
 > небольшой (30-40 компьютеров) сетки с выходом как в интеренет
 > через ADSL.

Ключевые слово для поиска документации -- NAT, MASWUERADE.
 
 > 2. Поднимаем и настроаиваем iptables так что бы все порты извне
 > кроме http, ftp и https были закрыты.

Зачем открывать http, ftp, https? Это нужно только если на этой машине
есть соответствующие сервера. Обычно снаружи бывает смысл держать smtp, и,
если админ удалённый, то ssh.
 
 > 3. Указываем в правилах iptables так что бы все запросы из
 > феёкового пространства адресов форвардились на второй интерфейс.

_Форвардились_ это указывается в route. А в iptables нужно настроить NAT.
 
 > 4. Заводим все http, ftp и  https запросы пользователй на прокси.

С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше через NAT
ходят. Или нужно журналировать все посещения?
 
-- 
С уважением, Денис

http://dimline.ru/

Re: [Comm] Re: Linux Gate

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 408 bytes --]

On Wed, Nov 26, 2003 at 10:52:23AM +0300, Денис Смирнов wrote:

> Ключевые слово для поиска документации -- NAT, MASWUERADE.
                                                    ^
                                                    Q
                                                очепятка
[...]

-- 
Вывод: какой-то !@#$%^&*()_+ в tcpdump переопределил библиотечный error().
Исправим.
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Linux Gate

[Alexey Morsov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Денис Смирнов пишет:
| On Tue, Nov 25, 2003 at 03:41:09PM +0300, Alexey Morsov wrote:
|
|  > Есть необходимость настроить на базе linux-машины gate для
|  > небольшой (30-40 компьютеров) сетки с выходом как в интеренет
|  > через ADSL.
|
| Ключевые слово для поиска документации -- NAT, MASWUERADE.
Погряз уже во всех этих NAT =)

|
|  > 2. Поднимаем и настроаиваем iptables так что бы все порты извне
|  > кроме http, ftp и https были закрыты.
|
| Зачем открывать http, ftp, https? Это нужно только если на этой
машине
| есть соответствующие сервера. Обычно снаружи бывает смысл
держать smtp, и,
| если админ удалённый, то ssh.
Дело в том что в нашей сетке стоят и www и ftp и mail сервера
(хотя прописаны они в сетке провайдера - т.е. видны извне) - но
физчески они в нашей сетке... Сейчас у нас cisco так и настроена
- - от нас вовне доступно все - к нам извне только http, ftp (ну
плюс видимо все порты от 1024 и выше... они вроде как почти
всегда открыт) - никаких телнетов и ssh
А - ну почта конечно...
Вот нужно такое же дело изобразить на Linux (для adsl)

|
|  > 3. Указываем в правилах iptables так что бы все запросы из
|  > феёкового пространства адресов форвардились на второй интерфейс.
|
| _Форвардились_ это указывается в route. А в iptables нужно
настроить NAT.
И вот тут непонятка - сейчас у нас route сеть провайдера (те 8
адресов что он нам выделил как внешние) настроен. Если я втыкаю в
комп вторую сетевуху, то по идее у меня долна таблица route
выглядить типа как:

route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw
201.xxx.xxx.xxx dev eth0 (первый провайдер)

route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw
202.xxx.xxx.xxx  dev eth1 (второй провайдер)

И в iptables я так понимаю надо сделать что-то типа:

iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source
202.xxx.xxx.xxx:1024-32000

и дальше route его закинет куда надо, как я поинмаю

А вот что с ответной частью (т.е. с ответом что прийдет извне -
он ведь прийдет на 202.xxx.xxx.xxx)?


|
|  > 4. Заводим все http, ftp и  https запросы пользователй на
прокси.
|
| С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше
через NAT
| ходят. Или нужно журналировать все посещения?
Да заводить пожалуй не надо - просто я думаю надо настроить
iptables так чтобы онно запрещало доступ мимо прокис а прокси
прописывать явно...

|
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/xHUmanU3DZdZEiwRAsqtAJ9KuHLoEX+Sc821gWNRqyYUgS6B9QCfWfcl
XHimUleQMP0P2D7adxa6JJs=
=/oP5
-----END PGP SIGNATURE-----

[Comm] Re: Linux Gate

[Денис Смирнов]

On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote:

 >> Ключевые слово для поиска документации -- NAT, MASWUERADE.
 > Погряз уже во всех этих NAT =)

Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил на второй
день после того, как первый раз увидел живьём сетевую карту :)
 
 > Дело в том что в нашей сетке стоят и www и ftp и mail сервера
 > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но
 > физчески они в нашей сетке... Сейчас у нас cisco так и настроена
 > - - от нас вовне доступно все - к нам извне только http, ftp (ну
 > плюс видимо все порты от 1024 и выше... они вроде как почти
 > всегда открыт) - никаких телнетов и ssh
 > А - ну почта конечно...
 > Вот нужно такое же дело изобразить на Linux (для adsl)

Тогда лучше всего сделать так:
 - извне разрешить все пакеты по уже установленым соединениям
 - извне разрешить http/ftp/https траффик
 - всё остальное извне запретить (по всем портам)
 
 > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8
 > адресов что он нам выделил как внешние) настроен. Если я втыкаю в
 > комп вторую сетевуху, то по идее у меня долна таблица route
 > выглядить типа как:
 > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw
 > 201.xxx.xxx.xxx dev eth0 (первый провайдер)
 > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw
 > 202.xxx.xxx.xxx  dev eth1 (второй провайдер)
 > И в iptables я так понимаю надо сделать что-то типа:
 > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source
 > 202.xxx.xxx.xxx:1024-32000
 > и дальше route его закинет куда надо, как я поинмаю
 > А вот что с ответной частью (т.е. с ответом что прийдет извне -
 > он ведь прийдет на 202.xxx.xxx.xxx)?

NAT адреса переделает.
 
 > |  > 4. Заводим все http, ftp и  https запросы пользователй на
 > прокси.
 > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше
 > через NAT
 > | ходят. Или нужно журналировать все посещения?
 > Да заводить пожалуй не надо - просто я думаю надо настроить
 > iptables так чтобы онно запрещало доступ мимо прокис а прокси
 > прописывать явно...

Для ftp это траффик вряд ли сэкономит, а вот место в кэше займёт. Зачем?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[Alexey Morsov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Денис Смирнов пишет:
| On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote:
|
|  >> Ключевые слово для поиска документации -- NAT, MASWUERADE.
|  > Погряз уже во всех этих NAT =)
|
| Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил
на второй
| день после того, как первый раз увидел живьём сетевую карту :)
|
|  > Дело в том что в нашей сетке стоят и www и ftp и mail сервера
|  > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но
|  > физчески они в нашей сетке... Сейчас у нас cisco так и настроена
|  > - - от нас вовне доступно все - к нам извне только http, ftp (ну
|  > плюс видимо все порты от 1024 и выше... они вроде как почти
|  > всегда открыт) - никаких телнетов и ssh
|  > А - ну почта конечно...
|  > Вот нужно такое же дело изобразить на Linux (для adsl)
|
| Тогда лучше всего сделать так:
|  - извне разрешить все пакеты по уже установленым соединениям
Не понял что вы имеет ввиду... 8-\
|  - извне разрешить http/ftp/https траффик
|  - всё остальное извне запретить (по всем портам)
|
|  > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8
|  > адресов что он нам выделил как внешние) настроен. Если я
втыкаю в
|  > комп вторую сетевуху, то по идее у меня долна таблица route
|  > выглядить типа как:
|  > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw
|  > 201.xxx.xxx.xxx dev eth0 (первый провайдер)
|  > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw
|  > 202.xxx.xxx.xxx  dev eth1 (второй провайдер)
|  > И в iptables я так понимаю надо сделать что-то типа:
|  > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source
|  > 202.xxx.xxx.xxx:1024-32000
|  > и дальше route его закинет куда надо, как я поинмаю
|  > А вот что с ответной частью (т.е. с ответом что прийдет извне -
|  > он ведь прийдет на 202.xxx.xxx.xxx)?
|
| NAT адреса переделает.
Ну да - а разве SNAT target не для того чтоб сетку по одному
реальному ip в инет вывести?
|
|  > |  > 4. Заводим все http, ftp и  https запросы пользователй на
|  > прокси.
|  > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть
лучше
|  > через NAT
|  > | ходят. Или нужно журналировать все посещения?
|  > Да заводить пожалуй не надо - просто я думаю надо настроить
|  > iptables так чтобы онно запрещало доступ мимо прокис а прокси
|  > прописывать явно...
|
| Для ftp это траффик вряд ли сэкономит, а вот место в кэше
займёт. Зачем?
Ну тут согласен - кэшировать с ftp конечно не нужно - но в
статистику запыжывать нать - чтоб мерить сколько юзер качает...
Илил это можно сделать как-то еще (помимо прокси) - но как не
хочется собирать всю статистику  с разных углов...
|
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/xMCaanU3DZdZEiwRAnzvAJkBFuOIChJU6kan3hczH9DCr8AuYgCgjSTy
KXnyZCkoVV+vktduc9VW/SQ=
=3Ry2
-----END PGP SIGNATURE-----

[Comm] Re: Linux Gate

[Денис Смирнов]

On Wed, Nov 26, 2003 at 06:02:51PM +0300, Alexey Morsov wrote:

 > | Тогда лучше всего сделать так:
 > |  - извне разрешить все пакеты по уже установленым соединениям
 > Не понял что вы имеет ввиду... 8-\

iptables умеет отслеживать установленые соединения, и пропускать пакеты,
если они относятся к установленому соединению. Это позволяет, например,
ftp прекрасно работать через файрвол.

man iptables
/--state
 
 >| NAT адреса переделает.
 > Ну да - а разве SNAT target не для того чтоб сетку по одному
 > реальному ip в инет вывести?

Да, для этого.
 
 > |  > |  > 4. Заводим все http, ftp и  https запросы пользователй на
 > |  > прокси.
 > |  > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть
 > лучше
 > |  > через NAT
 > |  > | ходят. Или нужно журналировать все посещения?
 > |  > Да заводить пожалуй не надо - просто я думаю надо настроить
 > |  > iptables так чтобы онно запрещало доступ мимо прокис а прокси
 > |  > прописывать явно...
 > |
 > | Для ftp это траффик вряд ли сэкономит, а вот место в кэше
 > займёт. Зачем?
 > Ну тут согласен - кэшировать с ftp конечно не нужно - но в
 > статистику запыжывать нать - чтоб мерить сколько юзер качает...
 > Илил это можно сделать как-то еще (помимо прокси) - но как не
 > хочется собирать всю статистику  с разных углов...

Собирать её надо с одного угла -- файрвола. На opennet.ru на эту тему море
статей с готовыми решениями.
 
-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[aek]

Hello Денис,

Thursday, November 27, 2003, 10:02:51 AM, you wrote:

ДС> iptables умеет отслеживать установленые соединения, и пропускать пакеты,
ДС> если они относятся к установленому соединению. Это позволяет, например,
ДС> ftp прекрасно работать через файрвол.

ДС> man iptables
ДС> /--state
 
Не могли бы Вы выложить пример "дырки" для ftp по конкретному ip адресу
на iptables.
как например доступ наружу по ssh в подсетку 10.50.18.0 делается допустим:
/sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn -s 10.50.18.0/24 --sport 22 -j ACCEPT

Напишите такиеже 3-4 строчки для ftp доступа куданьть
плиз, не поленитесь...


-- 
Всех благ!
Анатолий

[Comm] Re: Linux Gate

[Денис Смирнов]

 On Thu, Nov 27, 2003 at 10:30:15AM +0700, aek wrote:
 > Не могли бы Вы выложить пример "дырки" для ftp по конкретному ip адресу
 > на iptables.
 > как например доступ наружу по ssh в подсетку 10.50.18.0 делается допустим:
 > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 22 -j ACCEPT
 > /sbin/iptables -A INPUT  -p tcp ! --syn -s 10.50.18.0/24 --sport 22 -j ACCEPT
 > Напишите такиеже 3-4 строчки для ftp доступа куданьть
 > плиз, не поленитесь...

/sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT

То есть если пакет принадлежит к уже установленому соединению --
пропустить. Если пакет это установка ftp-соединения -- пропустить.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[aek]

Hello Денис,

Thursday, November 27, 2003, 11:04:52 AM, you wrote:

ДС> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
ДС> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
ДС> /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT

ДС> То есть если пакет принадлежит к уже установленому соединению --
ДС> пропустить. Если пакет это установка ftp-соединения -- пропустить.

Ок.
Попробуем дальше завернуть гайки?

/sbin/iptables -A INPUT  -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A INPUT  -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT

или это бред?


-- 
Всех благ!
Анатолий

[Comm] Re: Linux Gate

[Michael Shigorin]

On Thu, Nov 27, 2003 at 07:04:52AM +0300, Денис Смирнов wrote:
>  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
>  > плиз, не поленитесь...
> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT

Еще полезно

-A INPUT -m state --state INVALID,NEW -j DROP

и в конце (при этом chain policy == ACCEPT)

-A INPUT -j REJECT --reject-with icmp-host-unreachable

-- если не требуется именно дропать (большой паразитный трафик),
то это сделает наш файрвол внешне неотличимым от просто
открытых/закрытых портов.

> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT

Это если и изнутри не все выпускать, тогда осмысленно.  И то как
раз тогда -- не всегда =)

> /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT
> 
> То есть если пакет принадлежит к уже установленому соединению --
> пропустить. Если пакет это установка ftp-соединения -- пропустить.

Ну и подгрузить ip_conntrack_ftp не забыть все же.

Кстати.  Есть мысль, что если нет болтающегося identd --
осмысленно сделать так для избежания таймаутов тех, кто пытается
в него стучаться (sendmail, ssh, ...):

-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset

PS: все это легко находится гооглем :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: Linux Gate

[Michael Shigorin]

On Thu, Nov 27, 2003 at 02:52:40PM +0700, aek wrote:
> /sbin/iptables -A INPUT  -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT

s/RELATES/RELATED/g -- кстати.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: Linux Gate

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 952 bytes --]

On Thu, Nov 27, 2003 at 02:52:40PM +0700, aek wrote:

 > Ок.
 > Попробуем дальше завернуть гайки?
 > /sbin/iptables -A INPUT  -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT

Не вижу смысла в дополнительных ограничениях здесь. Если уж мы установили
соединение, то никакого повода не пропускать по нему пакеты я не знаю. Так
что если --state ESTABLISHED, то пропускать однозначно. IMHO/

 > /sbin/iptables -A INPUT  -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT
 > или это бред?

А чем порты до 1024 лучше/хуже?

Уж если закручивать гайки, то с использованием -i/-o, масок подсетей,
и.т.д.
 
-- 
С уважением, Денис

http://freesource.info


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1710 bytes --]

On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:

 > >  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
 > >  > плиз, не поленитесь...
 > > /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
 > Еще полезно
 > -A INPUT -m state --state INVALID,NEW -j DROP

Хм. Зачем?
 
 > и в конце (при этом chain policy == ACCEPT)
 > -A INPUT -j REJECT --reject-with icmp-host-unreachable

А policy == ACCEPT зачем?
 
 > -- если не требуется именно дропать (большой паразитный трафик),
 > то это сделает наш файрвол внешне неотличимым от просто
 > открытых/закрытых портов.

Я так делаю везде, где это внутри сети (то есть где траффик не считается
и денег не стоит). На INPUT с интерфейса идущего в интернет у меня везде
-j DROP.
 
 >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
 > Это если и изнутри не все выпускать, тогда осмысленно.  И то как
 > раз тогда -- не всегда =)

А почему как раз тогда не всегда?

Изнутри я, бывает, не всех и не везде пускаю.

 > > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT
 > > То есть если пакет принадлежит к уже установленому соединению --
 > > пропустить. Если пакет это установка ftp-соединения -- пропустить.
 > Ну и подгрузить ip_conntrack_ftp не забыть все же.

Да.

 > Кстати.  Есть мысль, что если нет болтающегося identd --
 > осмысленно сделать так для избежания таймаутов тех, кто пытается
 > в него стучаться (sendmail, ssh, ...):
 > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
 > PS: все это легко находится гооглем :)

Есть такое дело. Каждый раз забываю, потом каждый раз с матюками
прописываю :)
 
-- 
С уважением, Денис

http://freesource.info


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] DROP vs. REJECT (was: Linux Gate)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 909 bytes --]

On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:

[...]
> Еще полезно
> 
> -A INPUT -m state --state INVALID,NEW -j DROP
> 
> и в конце (при этом chain policy == ACCEPT)
> 
> -A INPUT -j REJECT --reject-with icmp-host-unreachable
> 
> -- если не требуется именно дропать (большой паразитный трафик),
> то это сделает наш файрвол внешне неотличимым от просто
> открытых/закрытых портов.
[...]

Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная
маштеа получает просто таймаут, а при режекте что-то типа "нет такого
адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)?
Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно
для диалапного десктопа без локалки)

-- 
По "техническим причинам" я буду молчать или реагировать с бооольшой
задержкой на все почтовое в лучшем случае до понедельника следующей недели.
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: DROP vs. JECT (was: Linux Gate)

[Денис Смирнов]

On Thu, Nov 27, 2003 at 08:52:28PM +0500, Andrey Rahmatullin wrote:

 > Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная
 > маштеа получает просто таймаут, а при режекте что-то типа "нет такого
 > адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)?
 > Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно
 > для диалапного десктопа без локалки)

REJECT отсылает ответ, DROP просто убивает пакет. Для диалапа лучше
использовать DROP.

REJECT есть смысл использовать, например, внутри локальной сети.
 

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: DROP vs. JECT (was: Linux Gate)

[Dmytro O. Redchuk]

On Fri, Nov 28, 2003 at 11:02:39AM +0300, Денис Смирнов wrote:
> On Thu, Nov 27, 2003 at 08:52:28PM +0500, Andrey Rahmatullin wrote:
> 
>  > Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная
>  > маштеа получает просто таймаут, а при режекте что-то типа "нет такого
>  > адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)?
>  > Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно
>  > для диалапного десктопа без локалки)
> 
> REJECT отсылает ответ, DROP просто убивает пакет. Для диалапа лучше
> использовать DROP.
> 
> REJECT есть смысл использовать, например, внутри локальной сети.
Смотря чего вы хотите добиться.

При дропе удалённая машина выжидает какие-то таймауты, при реджекте до
неё сразу доходит, что "там такого нет".

В зависимости от ситуации нужно использовать то, или другое.

Но дроп быстрее...
Для реджекта надо ещё пакет собрать да отправить ;-)

> 
> -- 
> С уважением, Денис
> 
> http://freesource.info

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


"The only way I can lose this election is if I'm caught in bed with a dead 
girl or a live boy."
-- Louisiana governor Edwin Edwards

[Comm] Re: Linux Gate

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1936 bytes --]

On Thu, Nov 27, 2003 at 02:49:09PM +0300, Денис Смирнов wrote:
>  > >  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
>  > >  > плиз, не поленитесь...
>  > > /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
>  > Еще полезно
>  > -A INPUT -m state --state INVALID,NEW -j DROP
> Хм. Зачем?

Затем, чтоб народное творчество обламывалось почаще.

>  > и в конце (при этом chain policy == ACCEPT)
>  > -A INPUT -j REJECT --reject-with icmp-host-unreachable
> А policy == ACCEPT зачем?

Чтоб добраться до -j REJECT, ессно :-)

>  > -- если не требуется именно дропать (большой паразитный трафик),
>  > то это сделает наш файрвол внешне неотличимым от просто
>  > открытых/закрытых портов.
> Я так делаю везде, где это внутри сети (то есть где траффик не
> считается и денег не стоит). На INPUT с интерфейса идущего в
> интернет у меня везде -j DROP.

У меня -- зависит.

>  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
>  > Это если и изнутри не все выпускать, тогда осмысленно.  И то
>  > как раз тогда -- не всегда =)
> А почему как раз тогда не всегда?

В смысле "как раз тогда -- не всегда ACCEPT" :-)

> Изнутри я, бывает, не всех и не везде пускаю.

Ну да, особенно на 25-й порт наружу.

>  > Кстати.  Есть мысль, что если нет болтающегося identd --
>  > осмысленно сделать так для избежания таймаутов тех, кто пытается
>  > в него стучаться (sendmail, ssh, ...):
>  > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
>  > PS: все это легко находится гооглем :)
> Есть такое дело. Каждый раз забываю, потом каждый раз с
> матюками прописываю :)

Ну лучше без матюков, чтоб системные утилиты не смущать
непривычным синтаксисом да окружение не портить.  

Но наступить на грабли, не включив net.ipv4.ip_forward в
/etc/sysctl.conf -- это тоже любимое :))))))

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Денис Смирнов]

On Fri, Nov 28, 2003 at 11:59:46PM +0200, Michael Shigorin wrote:

>>>>> Напишите такиеже 3-4 строчки для ftp доступа куданьть
>>>>> плиз, не поленитесь...
>>>> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
>>> Еще полезно
>>> -A INPUT -m state --state INVALID,NEW -j DROP
>> Хм. Зачем?
> Затем, чтоб народное творчество обламывалось почаще.

?

 > >  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
 > >  > Это если и изнутри не все выпускать, тогда осмысленно.  И то
 > >  > как раз тогда -- не всегда =)
 > > А почему как раз тогда не всегда?
 > В смысле "как раз тогда -- не всегда ACCEPT" :-)

Я понял. Но не понял почему и зачем не делать ACCEPT на уже установленые
соединения?
 
-- 
С уважением, Денис

http://freesource.info

[Comm] Re: Linux Gate

[Michael Shigorin]

On Sat, Nov 29, 2003 at 08:00:32AM +0300, Денис Смирнов wrote:
> >>>>> Напишите такиеже 3-4 строчки для ftp доступа куданьть
> >>>>> плиз, не поленитесь...
> >>>> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
> >>> Еще полезно
> >>> -A INPUT -m state --state INVALID,NEW -j DROP
> >> Хм. Зачем?
> > Затем, чтоб народное творчество обламывалось почаще.
> ?

Ну, всякие неправильные самопальные IP-пакеты с левыми
заголовками.

>  > >  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>  > >  > Это если и изнутри не все выпускать, тогда осмысленно.
>  > >  > И то как раз тогда -- не всегда =)
>  > > А почему как раз тогда не всегда?
>  > В смысле "как раз тогда -- не всегда ACCEPT" :-)
> Я понял. Но не понял почему и зачем не делать ACCEPT на уже
> установленые соединения?

Этого и я не понял.  А добавил -- насчет того, _почему_ им
позволять или нет быть установленными.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: Linux Gate

[Денис Смирнов]

On Sat, Nov 29, 2003 at 12:29:44PM +0200, Michael Shigorin wrote:
 >>>>> -A INPUT -m state --state INVALID,NEW -j DROP
 >>>> Хм. Зачем?
 >>> Затем, чтоб народное творчество обламывалось почаще.
 >> ?
 > Ну, всякие неправильные самопальные IP-пакеты с левыми
 > заголовками.

Тогда NEW зачем?

У меня обычно первое правило в цепочке это "пропускать по установленым
соединениям", второе -- "дропать все INVALID пакеты". Дальше уже в
зависимости от ситуации. INVALID иногда не только дропаю, но ещё и в лог
отправляю.

 > >  > >  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 > >  > >  > Это если и изнутри не все выпускать, тогда осмысленно.
 > >  > >  > И то как раз тогда -- не всегда =)
 > >  > > А почему как раз тогда не всегда?
 > >  > В смысле "как раз тогда -- не всегда ACCEPT" :-)
 > > Я понял. Но не понял почему и зачем не делать ACCEPT на уже
 > > установленые соединения?
 > Этого и я не понял.  А добавил -- насчет того, _почему_ им
 > позволять или нет быть установленными.

Ясно.
 
-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 721 bytes --]

On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:
> On Thu, Nov 27, 2003 at 07:04:52AM +0300, Денис Смирнов wrote:
> >  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
> >  > плиз, не поленитесь...
> > /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
> 
> Еще полезно
> 
> -A INPUT -m state --state INVALID,NEW -j DROP

Точно так? Чем NEW не угодил?
может по 2-м правилам это расписать?
-A INPUT -p TCP ! --syn -m state --state NEW -j DROP
-A INPUT -p TCP -m state --state INVALID -j DROP


> 
> и в конце (при этом chain policy == ACCEPT)
> 
> -A INPUT -j REJECT --reject-with icmp-host-unreachable
> 

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 474 bytes --]

On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote:

 > Точно так? Чем NEW не угодил?
 > может по 2-м правилам это расписать?
 > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
 > -A INPUT -p TCP -m state --state INVALID -j DROP

Если я правильно понимаю, то первое правило вообще не может сработать, а
то что ты имел ввиду и есть то, что написано во второй строчке. Или я
неправильно понимаю логику iptables?

-- 
С уважением, Денис

http://freesource.info


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Linux Gate

[Gosha]

Hi!
On Mon, 1 Dec 2003 00:46:56 +0300
Денис Смирнов <mithraen@freesource.info> wrote:

> On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote:
> 
>  > Точно так? Чем NEW не угодил?
>  > может по 2-м правилам это расписать?
>  > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
>  > -A INPUT -p TCP -m state --state INVALID -j DROP
> 
> Если я правильно понимаю, то первое правило вообще не может сработать,

Срабатывает и еще как! Вот примерчик из лога:

$ sudo cat /var/log/iptables | grep syn
......
Dec  1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1
SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107
ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0

> а то что ты имел ввиду и есть то, что написано во второй строчке. 
> Или я неправильно понимаю логику iptables?


-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] Re: Linux Gate

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 669 bytes --]

On Mon, Dec 01, 2003 at 12:46:56AM +0300, Денис Смирнов wrote:
> On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote:
> 
>  > Точно так? Чем NEW не угодил?
>  > может по 2-м правилам это расписать?
>  > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
>  > -A INPUT -p TCP -m state --state INVALID -j DROP
> 
> Если я правильно понимаю, то первое правило вообще не может сработать, а
> то что ты имел ввиду и есть то, что написано во второй строчке. Или я
> неправильно понимаю логику iptables?

Видать неправильно понимаете ;)
Точнее не iptables, а TCP/IP
NEW и Syn это разные флаги.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Denis Smirnov]

On Mon, Dec 01, 2003 at 09:24:38AM +0500, Gosha wrote:

 > >  > Точно так? Чем NEW не угодил?
 > >  > может по 2-м правилам это расписать?
 > >  > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
 > >  > -A INPUT -p TCP -m state --state INVALID -j DROP
 > > Если я правильно понимаю, то первое правило вообще не может сработать,
 > Срабатывает и еще как! Вот примерчик из лога:
 > $ sudo cat /var/log/iptables | grep syn
 > Dec  1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1
 > SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107
 > ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0

А оно не идентично INVALID?
 
-- 
С уважением, Денис

http://freesource.info

[Comm] Re: Linux Gate

[Денис Смирнов]

On Mon, Dec 01, 2003 at 09:52:12AM +0200, Maxim Tyurin wrote:

 >> Если я правильно понимаю, то первое правило вообще не может сработать, а
 >> то что ты имел ввиду и есть то, что написано во второй строчке. Или я
 >> неправильно понимаю логику iptables?
 > Видать неправильно понимаете ;)
 > Точнее не iptables, а TCP/IP
 > NEW и Syn это разные флаги.

Опаньки. _Флага_ NEW, AFAIK, вообще не существует. Или мне пора садиться
читать FM? NEW это, насколько я понимаю, некий _виртуальный_ параметр,
который каким-то образом формируется модулем state. Только вот каким
именно, и чем он отличается от INVALID я не понимаю.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 870 bytes --]

On Mon, Dec 01, 2003 at 12:43:48PM +0300, Denis Smirnov wrote:
> On Mon, Dec 01, 2003 at 09:24:38AM +0500, Gosha wrote:
> 
>  > >  > Точно так? Чем NEW не угодил?
>  > >  > может по 2-м правилам это расписать?
>  > >  > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
>  > >  > -A INPUT -p TCP -m state --state INVALID -j DROP
>  > > Если я правильно понимаю, то первое правило вообще не может сработать,
>  > Срабатывает и еще как! Вот примерчик из лога:
>  > $ sudo cat /var/log/iptables | grep syn
>  > Dec  1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1
>  > SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107
>  > ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0
> 
> А оно не идентично INVALID?

Нет. 
Есть NEW, ESPABLISHED, RELATED и INVALID
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Linux Gate

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 862 bytes --]

On Mon, Dec 01, 2003 at 02:17:01PM +0300, Денис Смирнов wrote:
> On Mon, Dec 01, 2003 at 09:52:12AM +0200, Maxim Tyurin wrote:
> 
>  >> Если я правильно понимаю, то первое правило вообще не может сработать, а
>  >> то что ты имел ввиду и есть то, что написано во второй строчке. Или я
>  >> неправильно понимаю логику iptables?
>  > Видать неправильно понимаете ;)
>  > Точнее не iptables, а TCP/IP
>  > NEW и Syn это разные флаги.
> 
> Опаньки. _Флага_ NEW, AFAIK, вообще не существует. Или мне пора садиться
> читать FM? NEW это, насколько я понимаю, некий _виртуальный_ параметр,
> который каким-то образом формируется модулем state. Только вот каким
> именно, и чем он отличается от INVALID я не понимаю.

Угу. Читать про iptables :)
Это все виртуальные параметры трассировки соединений.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Денис Смирнов]

On Mon, Dec 01, 2003 at 01:33:23PM +0200, Maxim Tyurin wrote:

 >> А оно не идентично INVALID?
 > Нет. 
 > Есть NEW, ESPABLISHED, RELATED и INVALID

Ещё раз внимательно перечитал man iptables. Правильно я понимаю, что NEW
это любой пакет не относящийся к уже известному соединению?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Linux Gate

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 760 bytes --]

On Mon, Dec 01, 2003 at 10:04:25PM +0300, Денис Смирнов wrote:
> On Mon, Dec 01, 2003 at 01:33:23PM +0200, Maxim Tyurin wrote:
> 
>  >> А оно не идентично INVALID?
>  > Нет. 
>  > Есть NEW, ESPABLISHED, RELATED и INVALID
> 
> Ещё раз внимательно перечитал man iptables. Правильно я понимаю, что NEW
> это любой пакет не относящийся к уже известному соединению?

В iptables-tutorial точно было

Соединение получает статус NEW когда получает первый пакет в
соединении. Этот пакет может и не быть Syn пакетом (если соединение
перехвачено от другого фаервола или после таймаута на еще не закрытом
соединении). 

ЗЫ Вообще из меня плохой рассказчик так что советую iptables-tutorial
почитать :)
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Linux Gate

[Денис Смирнов]

On Mon, Dec 01, 2003 at 09:50:17PM +0200, Maxim Tyurin wrote:

 > В iptables-tutorial точно было
 > Соединение получает статус NEW когда получает первый пакет в
 > соединении. Этот пакет может и не быть Syn пакетом (если соединение
 > перехвачено от другого фаервола или после таймаута на еще не закрытом
 > соединении). 
 > ЗЫ Вообще из меня плохой рассказчик так что советую iptables-tutorial
 > почитать :)

Ok, спасибо. Раньше я наивно думал что хорошо понимаю логику модуля state
:)

-- 
С уважением, Денис

http://freesource.info