Sada je: 22 stu 2019, 15:38.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Pozdrav svima, nakon dugo vremena... :-D

Imam jedan problem. U virtualboxu imam instaliran ubuntu-server i na njemu instaliran apache server i php. Server mi sluzi za testiranje html i php koda.

Na lokalnom racunalu imam mrezni share koji mi sluzi kao root direcotry za apache i od tamo mi posluzuje stranice. Na lokalnom racunulu (Debian) podesio sam iptables da mi dozvoljava serveru da se spaja na share i to je sve normalno radilo do prije nekoliko trenutaka kada sam napravio update virtualbox-a.

Odjednom mi se server vise ne zelis spojiti na network share na lokalnom racunalu, to jest iptables na Debianu mu ne dozvoljava. U INPUT chain dodao sam da mi se sav blokirani promet logira, te kasnijim pregledavanjem logova vidim da mi iptables blokira portove koje ne bi trebao...

Vec 2 sata pokusavam skuzit u cemu je problem, ali bezuspjesno. Probao sam promjeniti i mreznu karticu u virtualboxu za ubuntu-server, razne postavke...ali bezuspjesno...

Debian Iptables konfiguracija

Kod: Označi sve
# Generated by iptables-save v1.4.14 on Sat Mar  1 09:45:29 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:firewall-INPUT - [0:0]
-A INPUT -j firewall-INPUT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -p icmp -m state --state NEW -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 587 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 123 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A OUTPUT -j LOG --log-prefix firewall-OUTPUT
-A OUTPUT -j DROP
-A firewall-INPUT -i lo -j ACCEPT
-A firewall-INPUT -s 192.168.1.10/32 -i wlan0 -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT
-A firewall-INPUT -s 192.168.1.10/32 -i wlan0 -p tcp -m state --state NEW -m tcp --dport 44062 -j ACCEPT
-A firewall-INPUT -s 192.168.1.10/32 -i wlan0 -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT
-A firewall-INPUT -p icmp -m icmp --icmp-type any -m limit --limit 3/sec -j ACCEPT
-A firewall-INPUT -j LOG --log-prefix firewall-INPUT
-A firewall-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A firewall-INPUT -j DROP
COMMIT
# Completed on Sat Mar  1 09:45:29 2014


/var/log/messages

Kod: Označi sve
Mar  1 09:46:57 danijel kernel: [ 8917.049579] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=16123 DF PROTO=TCP SPT=55554 DPT=111 WINDOW=730 RES=0x00 ACK URGP=0
Mar  1 09:46:57 danijel kernel: [ 8917.049892] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=144 TOS=0x00 PREC=0x00 TTL=64 ID=16124 DF PROTO=TCP SPT=55554 DPT=111 WINDOW=730 RES=0x00 ACK PSH URGP=0
Mar  1 09:46:57 danijel kernel: [ 8917.050185] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=16125 DF PROTO=TCP SPT=55554 DPT=111 WINDOW=730 RES=0x00 ACK URGP=0
Mar  1 09:46:57 danijel kernel: [ 8917.050549] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=16126 DF PROTO=TCP SPT=55554 DPT=111 WINDOW=730 RES=0x00 ACK FIN URGP=0
Mar  1 09:46:57 danijel kernel: [ 8917.050585] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=13508 DF PROTO=TCP SPT=1005 DPT=60682 WINDOW=5840 RES=0x00 SYN URGP=0
Mar  1 09:46:57 danijel kernel: [ 8917.050801] firewall-INPUTIN=wlan0 OUT= MAC=f8:d1:11:11:39:f0:08:00:27:b2:9e:ba:08:00 SRC=192.168.1.10 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=16127 DF PROTO=TCP SPT=55554 DPT=111 WINDOW=730 RES=0x00 ACK URGP=0


Kao sto se iz log-a moze vidjeti npr. DPT 111 mi je blokiran iako bi trebao biti dopusten...

Ako netko ima bilo kakvu ideju, bio bih mu zahvalan jer mi se neda svaki put mjenjati postavke firewall-a kada zelim nesto testirati.
Postovi: 177
Postovi: 177
Pridružen/a: 26 pro 2010, 16:12
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 0 puta
OS: Debian
upitno je da li je taj file primijenjen, iptables -L ce ti otkriti koja je running konfiguracija.
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
ako i je, uvjetovao si state.
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Hvala na brzom odg. glaskoncILLA.

Je file je primjenjen i sve ostalo je ok, ali skuzio sam da mi port 111 treba stalno biti otvoren, isto kao i 2049 koji je standardan nfs port , ali kada mi ta pravila "prodju" vidim da mi dolazni promet stalno pristize na jos jedan port a taj treci je pak stalno drukciji (iz private range-a).

Moze biti da mi je prije radilo zato jer nisam gasio server nego sam isao samo na opciju save tako da mi taj treci port nije igrao ulogu.

E sada... ne postoji nijedan nacin na koji bih mogao dodati pravilo da uz source ip adresu postavim i dest port (posto mi se stalno mjenja) a zelio bih ograniciti sto je vise moguce pristum lokalnom racunalu sa servera.
Postovi: 177
Postovi: 177
Pridružen/a: 26 pro 2010, 16:12
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 0 puta
OS: Debian
Ah...glupan!!! :nee

Treba postaviti fiksne portove za rpc.mountd.

Hvala na odgovoru jos jednom.
Postovi: 177
Postovi: 177
Pridružen/a: 26 pro 2010, 16:12
Podijelio/la zahvalu: 3 puta
Primio/la zahvalu: 0 puta
OS: Debian

Na mreži
Trenutno korisnika/ca: / i 2 gostiju.