iptables[РЕШЕНО]

[dormidont3]

Стоит школьный сервер 6.0 у меня такой вопрос.

На сервере есть фильтр dansguardian, он висит на порту 3182, есть прозрачный прокси. На машинах учеников указан прокси 3128. на всех остальных, без прокси просто. (знаю, что это легко правится, но за 2 года работы сервера, ещё ни один ребёнок не делал этого, как увижу первые изменения буду думать)

ИПы раздаются через DHCP при чём выдаются по маку, а диапазон раздачи стоит 192.168.1.240-192.168.1.240 и 240 ип всегда занят, ну то есть без регистрации мака ни кто подключиться не может. (не уверен, корректно ли так делать, но ничего другого пока не нашёл)

А теперь собственно вопрос. В школе есть Ви-Фи и он естественно запаролен, дети оделили с просьбами сказать пароль и почему не подключается, так вот, можно ли как то сделать, что бы при выдаче диапазона к примеру 192.168.1.210-192.168.1.240 iptables затрачивал все запросы с этих ипов на порт 3128, что бы все выходы с этих ипов тоже фильтровались dansguardianom?

[NickM]

в таблице NAT можно по маске диапазона REDIRECT сделать

[dormidont3]

блин... Плохая видимо мыла идея пробовать настроить это через вебинтерфейс, у меня почему то закрылся 22ой порт и я теперь не могу попасть на сервер, хотя по вроде прописано, что доступ разрешён.

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-i eth1 -p tcp --dport 8080 -j ACCEPT
-i eth1 -p tcp --dport 20 -j ACCEPT
-i eth1 -p udp --dport 20 -j ACCEPT
-i eth1 -p tcp --dport 21 -j ACCEPT
-i eth1 -p udp --dport 21 -j ACCEPT
-i eth1 -p tcp --dport 22 -j ACCEPT
-i eth1 -p udp --dport 22 -j ACCEPT
-i eth1 -p icmp -j ACCEPT
-i eth1 -j DROP
-i ppp1 -p tcp --dport 8080 -j ACCEPT
-i ppp1 -p tcp --dport 20 -j ACCEPT
-i ppp1 -p udp --dport 20 -j ACCEPT
-i ppp1 -p tcp --dport 21 -j ACCEPT
-i ppp1 -p udp --dport 21 -j ACCEPT
-i ppp1 -p tcp --dport 22 -j ACCEPT
-i ppp1 -p udp --dport 22 -j ACCEPT
-i ppp1 -p icmp -j ACCEPT
-i ppp1 -j DROP
ну тоесь вроде открыто, приэтом если пытаюсь подключиться то

Код: [Выделить]

ssh name@10.2.70.31
ssh: connect to host 10.2.70.31 port 22: Connection refused

ну и...

Код: [Выделить]

sudo nmap -sT -O 10.2.70.31

Starting Nmap 5.21 ( http://nmap.org ) at 2013-03-19 21:44 YEKT
Nmap scan report for 10.2.70.31
Host is up (0.0029s latency).
Not shown: 997 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
22/tcp   closed ssh
8080/tcp open   http-proxy

В чём проблема?

[ksa]

Не понял, что у вас udp протокол делает на 22 порту ? Можете закоментировать эти два правила -- для ssh вполне достаточно tcp.
И это для какой цепочки правила ? Если для INPUT, то почему у вас только состояния ESTABLISHED и RELATED разрешены, а NEW где для вновь открываемых соединений ?

[dormidont3]

Не понял, что у вас udp протокол делает на 22 порту ? Можете закоментировать эти два правила -- для ssh вполне достаточно tcp.
И это для какой цепочки правила ? Если для INPUT, то почему у вас только состояния ESTABLISHED и RELATED разрешены, а NEW где вновь открываемых соединений ?

Не знаю что оно там делает, это было по умолчанию, ничего не менял, просто включил ручное управление.

Цепочка для правила filter/INPUT.

почему у вас только состояния ESTABLISHED и RELATED разрешены, а NEW где вновь открываемых соединений ?

Не знаю... Я просто включил умолчания...

[dormidont3]

Поменял

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-i eth1 -p tcp --dport 8080 -j ACCEPT
-i eth1 -p tcp --dport 20 -j ACCEPT
-i eth1 -p udp --dport 20 -j ACCEPT
-i eth1 -p tcp --dport 21 -j ACCEPT
-i eth1 -p udp --dport 21 -j ACCEPT
-i eth1 -p tcp --dport 22 -j ACCEPT
#-i eth1 -p udp --dport 22 -j ACCEPT
-i eth1 -p icmp -j ACCEPT
-i eth1 -j DROP
-i ppp1 -p tcp --dport 8080 -j ACCEPT
-i ppp1 -p tcp --dport 20 -j ACCEPT
-i ppp1 -p udp --dport 20 -j ACCEPT
-i ppp1 -p tcp --dport 21 -j ACCEPT
-i ppp1 -p udp --dport 21 -j ACCEPT
-i ppp1 -p tcp --dport 22 -j ACCEPT
#-i ppp1 -p udp --dport 22 -j ACCEPT
-i ppp1 -p icmp -j ACCEPT
-i ppp1 -j DROP
И теперь 22 порт вообще пропал..

Код: [Выделить]

sudo nmap -sT -O 10.2.70.31

Starting Nmap 5.21 ( http://nmap.org ) at 2013-03-19 22:07 YEKT
Nmap scan report for 10.2.70.31
Host is up (0.00091s latency).
Not shown: 983 closed ports
PORT     STATE    SERVICE
13/tcp   open     daytime
21/tcp   open     ftp
25/tcp   open     smtp
53/tcp   open     domain
110/tcp  open     pop3
111/tcp  open     rpcbind
139/tcp  open     netbios-ssn
143/tcp  open     imap
445/tcp  open     microsoft-ds
993/tcp  open     imaps
995/tcp  open     pop3s
1720/tcp filtered H.323/Q.931
2049/tcp open     nfs
3128/tcp open     squid-http
8080/tcp open     http-proxy
9102/tcp open     jetdirect
9103/tcp open     jetdirect


[ksa]

Правила, скажем прямо, не оптимальны. Для ftp тоже udp разрешён, хотя он там не нужен (опять же достаточно tcp). Это вы где меняете, в веб-морде?

[dormidont3]

Да, у меня по SSH пропал доступ и пускает только через вебморду... Я понимаю, что они не идеальны и большую часть портов вообще позакрывать можно, за ненадобностью, но для начала мне бы 22ой порт вернуть... просто отключение ручного режима не спасает...

[ksa]

Вот чего-чего, а по веб-морде не подскажу, увы. Как-то не приходилось с ней дело иметь, вся настройка исключительно посредством ssh.
PS Может после изменений правил надо чего перезапустить или настройки для ssh поковырять в веб-морде (если они там есть, конечно).

[dormidont3]

Да я тоже предпочитаю ssh просто и иптаблесом не знаком вообще и по этому решил попробовать для начала через морду настроить... Почему рубануло 22 порт я не понимаю... Ведь прописано что нужно пускать...

[ksa]

Почему рубануло 22 порт я не понимаю... Ведь прописано что нужно пускать...

А предыстория какая, после чего конкретно пускать перестало ?

[dormidont3]

Сразу после того как поставил галочку в вебморде "Включить режим ручной настойки" и перезагрузил сервак. После этого ни какими манипуляциями заставить работать SSH я не смог

[ksa]

А обратно если галку снять не помогает ?

[dormidont3]

Неа... Я тут вспомнил...

Я когда то на днях в настройках ssh пытался изменить порт, потому что ко мне кто то стабильно ломился... В общем в тот момент у меня ничего не вышло, а сейчас видимо после перезагрузки сработали изменения и у меня теперь полный капец... ssh висит на 25м порту и что с этим делать и как подключиться, что бы вернуть нормальные настройки я не представляю...

Хотя опять же, только что эксперементировал и открыл порт для telnet, а при сканировании он всё равно закрыт 23/tcp   closed telnet в общем... чудеса какие то...

[ksa]

ssh висит на 25м порту

Если это точно, то открыть этот порт попробовать, после чего проверить его доступность. Веб-морда в любом случае пострадать не должна от таких изменений.