URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2174
[ Назад ]

Исходное сообщение
"Открыть порты на брандмауэре"

Отправлено DNick , 08-Июл-05 11:36 
Господа возник следующий вопрос, недавно поднял новый сервак, фаерволом закрыто по минимуму, через некоторое время заметил что катастрофически утекает трафик(что неудивительно), заметил несколько спуфоверов, даунов пытающихся подключиться по ssh и прочих хакеров-имбицилов, решил настроить фаервол, почитал статьи. Настроил :))))))
  Теперь трафика не утекает, но есть проблема, прокся тоже не работает, подскажите какие порты надо открыть для прокси-сервера(провайдер не пускает на свй прокси, по этому открытие 53 и 8080 не помогает). А маскарадить все машины это по моему не есть хорошо.

Содержание

Сообщения в этом обсуждении
"Открыть порты на брандмауэре"
Отправлено шзефидуы , 08-Июл-05 13:00 
Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться у тебя под прокси. Если Squid, то скорее всего 3128 или 8080. В таком случае необходимо написать правило -
iptables - A INPUT -i eth1 -p tcp --dport 3128 - s 192.168.0.0/24 -j ACCEPT

где eth1 - интерфейс, к которому подсоединена локальная сеть
--dport 3128 - порт прокси сервера
- s 192.168.0.0/24  -  дипазон адресов локальной сети

Попробуй этот вариант


"Открыть порты на брандмауэре"
Отправлено DNick , 08-Июл-05 13:23 
>Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться
>у тебя под прокси. Если Squid, то скорее всего 3128 или
>8080. В таком случае необходимо написать правило -
>iptables - A INPUT -i eth1 -p tcp --dport 3128 - s
>192.168.0.0/24 -j ACCEPT
>
>где eth1 - интерфейс, к которому подсоединена локальная сеть
>--dport 3128 - порт прокси сервера
>- s 192.168.0.0/24  -  дипазон адресов локальной сети
>
>Попробуй этот вариант

Непроходит. Я вообще пытался открыть все что упоминается в squid.conf
вот кусок конфига для фаервола

/sbin/ipchains -A input -d $ALLINET -i eth0 -p 70 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 70 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 210 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 210 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 488 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 488 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 591 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 591 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 53 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 53 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 16 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 16 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 8080 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 8080 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3130 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3130 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3128 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3128 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 4827 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 4827 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 4828 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 4828 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3135 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3135 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 80 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 80 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 443 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 443 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 563 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 563 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 280 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 280 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 777 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 777 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 21 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 21 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3401 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3401 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 10005 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 10005 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3131 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3131 -j ACCEPT

Так сквид валиться(даже в логи ничего не скидывает)


"Открыть порты на брандмауэре"
Отправлено _CaT_ , 08-Июл-05 13:39 
беда.... :)

"Открыть порты на брандмауэре"
Отправлено achist , 08-Июл-05 13:47 
Достойный дон. А счего вы взяли что проблема в iptables это раз и два какие вы правила имеете для интерфейса lo?

"Открыть порты на брандмауэре"
Отправлено DNick , 08-Июл-05 14:15 
>Достойный дон. А счего вы взяли что проблема в iptables это раз
потому как если удалить все цепочки(или поднять старый конфиг), то все работает
>и два какие вы правила имеете для интерфейса lo?
для lo
/sbin/ipchains -A input -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT
/sbin/ipchains -A output -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT
но это слабо помагает (скажем прямо нифига)

P.S. Народ, если поможет я могу выложить полный текст.


"Открыть порты на брандмауэре"
Отправлено шзефидуы , 08-Июл-05 18:08 
Для lo должно быть:

-A INPUT  -i lo -j ACCEPT

Может ты не тот интерфейс указал eth0  ?

@@@ -A output -d $ALLINET -i eth0 @@@

Когда пишешь output, то надо писать "-o eth1"

А для того, чтобы вредители не лазили по ssh и telnet, необходимо закрыть порты 22и 23.

Есить еще конфигурационные файлы hosts.allow и hosts.deny


"Открыть порты на брандмауэре"
Отправлено Byte , 20-Июл-05 01:58 
>Господа возник следующий вопрос, недавно поднял новый сервак, фаерволом закрыто по минимуму,
>через некоторое время заметил что катастрофически утекает трафик(что неудивительно), заметил несколько
>спуфоверов, даунов пытающихся подключиться по ssh и прочих хакеров-имбицилов, решил настроить
>фаервол, почитал статьи. Настроил :))))))
>  Теперь трафика не утекает, но есть проблема, прокся тоже не
>работает, подскажите какие порты надо открыть для прокси-сервера(провайдер не пускает на
>свй прокси, по этому открытие 53 и 8080 не помогает). А
>маскарадить все машины это по моему не есть хорошо.


Если у вас по умолчанию фаерволл закрывает все, то чтобы сквид работал надо открыть все исходящие запросы от твоего сервера в интернет.Порт сквида так же должен быть открыт в локалку.Когда клиент пытается ломиться в инет через прокси то сквид создает сокет на произвольном порту внешнего интерфейса и соответственно нужно чтобы все порты были открыты для исходящих запросов.