konflikt squid i ufw

[illit]

Witam, mam taki problem:

skonfigurowałam squid, skonfigurowałam ufw wg poradnika
http://macbirdie.blogspot.com/2009/08/d ... erver.html

i w momencie jak daję ufw enable to nie można połączyć się z sieci wewnętrznej na zewnątrz... nie wiem co się dzieje, squid jest transparentnie ustawiony, słucha tylko na interfejsie wewnętrznym, na razie nie podpinam tego serwera tylko sprawdzam na osobnym łączu bo boję się wystawić serwer bez ufw...

poradźcie coś koledzy

i tak, szukałam na google

[jacekalex]

Ufw to nakładka na iptables, która robi diabli wiedzą co.

Do konfigurowania fw na serwerze nic lepszego niż czysty iptables nie znajdziesz.
Sznurek:
viewtopic.php?t=137853

[illit]

chciałam szybciej postawić przez ufw a nie wgryzać sie w iptables... czyli pewnie będę musiała się wgryźć :/

[jacekalex]

Nie musisz niczego gryźć
port squida to 3128

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p udp --dport 3128 -j ACCEPT

Po tym Squid jest widoczny w sieci LAN (192.168.0.0/16)

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -s 192.168.0.0/16 -p tcp -j DNAT --to-destination 192.168.1.1:3128

- cały ruch tcp z sieci 192.168.0.0/16 idzie do SQUIDA na adres 192.168.1.1:3128.
Założenie - sieć lokalna za NAT.

Sznurki:
http://pl.wikibooks.org/wiki/Sieci:Linu ... r/iptables
http://www-auklet.gentoo.org/doc/pl/sec ... =1&chap=12
http://www.gentoo.org/doc/pl/home-router-howto.xml

Iptables jest wyraźnie prostszy, niż się niektórym wydaje.

Ewentualnie możesz spróbować skryptem firehool - który automagicznie konfiguruje iptables i Squida do transparent proxy (skuteczności nie oceniam, nigdy nie musiałem go używać).


Zdrowych i Wesołych...

Pozdrawiam

[illit]

dzięki wielkie, te regułki miałam ale tylko potwierdzają to co znalazłam wcześniej , teraz zaczynam je analizować, bo dobrze wiedzieć co się stawia

piszę własnego firewalla, jak skończę to wkleję tu na forum razem z opisem pomysłów i będę czekała na krytykę

ps: miałam gentoo, po awarii instalowałam ponownie ale poległam na hardened kernel i jego ip_tables, za chiny ludowe nie chciały się wkompilować do jądra i tam miałam tego firewalla z dokumentacji

EDIT:
to teraz połączyłam parę rzeczy i popełniłam coś takiego:

Kod: Zaznacz cały

#!/bin/sh
# czyszczenie regolek
# znienna -F usuwa wszystko
iptables -F

# kasowanie lancuchow
# zmienna -X kasuje lancuch a bez parametru kasuje wszystkie lancuchy
iptables -X

# teraz wszystko z NAT
# -t to wskazanie tablicy, domyslnie dla filtru nie trzeba pisac tego parametru
iptables -t nat -F
iptables -t nat -X

# ustawienie domyslnej polityki dla pakietow
# -P to domyslna polityka dla tego lancucha na wszystkie interfejsy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# dla sieci lokalnej przyjmowanie wszystkiego
iptables -I INPUT -i eth1 -j ACCEPT

# teraz dla petli zwrotnej lo
# -A dodaje definicje na koncu lancucha ktory wskazemy
# -i to interfejs na ktorym ma to wejsc do systemu
# -j akceptacja lub odrzucenie (ACCEPT lub DROP)

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

# teraz zajmiemy sie uslugami typu INPUT i FORWARD ktore my wywolalismy zdalnie i teraz sie do nas lacza
# -m to wywolanie konkrenego modulu
# state sprawdza jaki jest stan tego polaczenia, jesli zalozone przez nas to akceptuje
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# teraz otworzymy port 22 na ssh
# -s wskazuje z jakiego adresu ma akceptowac polaczenia zapis 0/0 informuje ze nie wazne z jakiej sieci
# -p pisze jaki to ma byc protokol
# --dport pokazuje jaki jest port docelowy dla tego polaczenia
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

# blokowanie pinga
iptables -A INPUT -p icmp --imcp-type echo-request -j DROP

# otwarcie na ftp
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p udp --dport 20:21 -j ACCEPT

# teraz squid jesli na tej samej maszynie
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 3128 -j ACCEPT
iptables -t nat -I PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

# internet dla wszystkich czyli maskarada
# -o na ktorym interfejsie ma wychodzic z serwera
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# przekazywanie IP - informacja dla jadra
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
	echo 1 > $f
done

powiedzcie mi czemu nie działa maskarada?
mam internet na serwerze a nie na podlaczonym kompie

[jacekalex]

Kod: Zaznacz cały

iptables -A INPUT -p udp --dport 20:21 -j ACCEPT

UDP do serwera ftp? - pierwszy raz słyszę
Maksaradę spróbuj dać tak:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -o eth0 -s 192.168.0.0/16 -j ACCEPT

Sznurek: http://dug.net.pl/tekst/31/udostepnieni ... 28masq%29/
W sznurku mały bug:
jest

Kod: Zaznacz cały

# ustawienie domyslnej polityki 
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

A powinno być

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP

Co do Gentoo Hardened - nie taki diabeł straszy, jak go malują:

Kod: Zaznacz cały

gcc version 4.5.1 (Gentoo Hardened 4.5.1-r1 p1.4, pie-0.4.5) 

Kernela z grsec i paxem na razie nie używam ze względu na środowisko graficzne, ale już próbowałem puścić cały system na tym diabelstwie.
Na razie miałem cyrk ze sterem nvidii, skypem i niektórymi grami.
Nvidia już rozpracowana, także niedługo przeprowadzka na full hardened stanie się ostatecznym faktem

EDYTA:
Ten opis jest raczej lichy.
Szukaj lepiej opisów do Debiana, Slackware i Gentoo.
Po za tym, jeśli to mała sieć, a Squidem nie trzeba sztucznie przyspieszać transferu przez buforowanie stron, to radziłbym Havp + ClamAV zamiast Squida.

Pozdrawiam

[illit]

Kod: Zaznacz cały

iptables -A INPUT -p udp --dport 20:21 -j ACCEPT

UDP do serwera ftp? - pierwszy raz słyszę

poprawiłam

Maksaradę spróbuj dać tak:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -o eth0 -s 192.168.0.0/16 -j ACCEPT

Sznurek: http://dug.net.pl/tekst/31/udostepnieni ... 28masq%29/
W sznurku mały bug:
jest

Kod: Zaznacz cały

# ustawienie domyslnej polityki 
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

A powinno być

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP

niestety dalej mi nie przekazuje pakietów, ping wewnątrz sieci jest, ale nie ma internetu wewnątrz sieci... co może mi blokować ?

[jacekalex]

poprawiłam

niestety dalej mi nie przekazuje pakietów, ping wewnątrz sieci jest, ale nie ma internetu wewnątrz sieci... co może mi blokować ?

Jeśli to zrobione:

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward

A pakiety nie idą?
to czy routing na kart prawidłowo zrobiony?

Kod: Zaznacz cały

man route

Czyli np:

Kod: Zaznacz cały

route add --net 192.168.0.0/16 netmask 255.255.0.0 dev eth1

Zawsze tak ustawiam.

Ewentualnie to działa bardzo grzecznie:

Kod: Zaznacz cały

#!/bin/bash

EXT=eth0
INT1=vboxnet0
INT2=eth1
# dla karty zewnętrznej - internet
ADRES='{ADRES_IP}'
MASKA='{MAKSA_ZEWN}'
BRAMA='{BRAMA_ZEWN}'

export EXT
export INT1
export INT2
export ADRES
export MASKA
export BRAMA

echo " Uruchamiam firewalla............................................."


echo "# ignorowanie ICMP echo request wysylanych na adres rozgloszeniowy" 

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "128" >> /proc/sys/net/ipv4/ip_default_ttl

echo "# ochrona przed SYN flood" 

echo "1" > /proc/sys/net/ipv4/tcp_syncookies


echo "# refuse source routed packets"  

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route


echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

echo "# logowanie pakietow z nieprawidlowych adresow "

echo "0"> /proc/sys/net/ipv4/conf/all/log_martians
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "# Konfigurowanie zapory..................................................." 

echo "# Czyszczenie tablic......................................................"




iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -I OUTPUT -j ACCEPT
iptables -I INPUT -i lo -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p udp  -f -i $EXT -j DROP

iptables -A INPUT -p udp -i $EXT -m state --state NEW -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -p tcp -i $EXT  -m state --state NEW -j REJECT --reject-with tcp-reset

echo "# Konfiguracja reguł gotowa.................................................."

echo "# Konfiguracja Sieci.................................................."

 echo 'nameserver 127.0.0.1' >/etc/resolv.conf
 echo 'nameserver 208.67.220.220' >>/etc/resolv.conf
 echo 'nameserver 208.67.222.222' >>/etc/resolv.conf
 echo 'nameserver 8.8.8.8' >>/etc/resolv.conf
 echo 'nameserver 8.8.4.4' >>/etc/resolv.conf
 

ifconfig $EXT down
ifconfig $INT1 down
ifconfig $INT2 down
ifconfig $EXT $ADRES netmask $MASKA
ifconfig $EXT up 
route add default gw $BRAMA $EXT
ifconfig $INT1 192.168.56.1 netmask 255.255.255.0
ifconfig $INT2 192.168.1.1 netmask 255.255.255.0
route add --net 192.168.56.0/24 netmask 255.255.255.0 dev $INT1
route add --net 192.168.1.0/24 netmask 255.255.255.0 dev $INT2
ifconfig $INT1 up
ifconfig $INT2  up

# MASKARADA
iptables -t nat -A POSTROUTING -o $EXT -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT

echo "# Konfiguracja Sieci Gotowa"

To by było na tyle

[illit]

Kod: Zaznacz cały

route add --net 192.168.0.0/16 netmask 255.255.0.0 dev eth1

NET/ROM: this need to be written

to dostaję po próbie dodania routingu

[jacekalex]

U mnie też czasami tak miauczy, ale działa.
Czy weszła trasa routingu:

Kod: Zaznacz cały

route

albo zainstaluj pakiet iproute2, a potem

Kod: Zaznacz cały

ip route show

[illit]

widzę coś takiego:

destination gateway genmask iface
192.168.0.0 0.0.0.0 255.255.255.0 eth1

czyli pewnie tak, ale dalej ping nie idzie ze stacji roboczych i strony sie nie wczytują

edit:

no to spróbuję twojego firewalla

[jacekalex]

To patrz na zmienne - tam są 2 karty - eth1 + karta virtualboxa (vboxnet0).
I sprawdź DNS-y na stacjach roboczych, bo jak ping jest, a netu nie ma, to częsty przypadek.

Albo porównaj:

Kod: Zaznacz cały

ping wp.pl
ping 212.77.100.101

na kompie, który nie ma neta, ale idą pingi.

W obu przypadkach będzie pingował ten sam serwer.

[illit]

dnsy mam ustawione na kazdym kompie oddzielnie, nie biora z bind9, i nie ma ani pinga po adresie ani po nazwie...

klepie tego firewalla i zobaczymy jak ruszy

EDIT:
przepisałam tego firewalla i nie działa u mnie...
na poprzednim przynajmniej pingi wychodziły ode mnie teraz nic nie wychodzi
z sieci wewnętrznej dalej nic nie ma

edit:

mam kolejne pytanie:

czemu w tym

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o $EXT -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT

jest maska 255.255.0.0 jak powinna byc 255.255.255.0 ?

i czemu masz siec na INT2 192.168.1.0 a do maskarady masz 192.168.0.0 ?


EDIT

RUSZYŁO!!!

powód?

kabel przy eth0 się mi krzywo ustawił i nie przesyłał pakietów... już naprawiłam:D

ale to nie zmienia faktu że mój firewall nie działał ... bo i jego sprawdziłam :/

pewnie tu bedzie pies pogrzebany w route

no nic sprawa załatwiona, ale [SOLVED] nie mogę dać bo problem obeszliśmy a nie rozwiązaliśmy

dziękuję za pomoc i cierpliwość dla blondynki

[jacekalex]

To bardzo proste:
INT1 ma 192.168.56.0 maska 255.255.255.0 #domyślnie virtualbox
INT2 ma 192.168.1.0 maska 255.255.255.0

jaka maska zawiera w sobie obie podsieci z INT1 i INT2?
otóż 192.168.0.0 maska 255.255.0.0 zawiera w sobie wszystkie adresy podsieci - od 192.168.0.1 do 192.168.255.254, iw ten sposób maskarada jest wspólna dla podsieci INT1 i INT2.

Z tym ze INT2 - ta sieciówka niedawno zdechła, i chwilę potrwa, zanim coś się pojawi na jej miejsce.
A po co taka duza maska na maskaradzie? czasem pojawia się interfejs qtap (kvm) czasem kvm z vde (wirtualnym switchem), i wtedy bez względu na to, jakie adresy przypisuję, nie muszę zmieniać konfigu FW żeby działało.

U Siebie możesz dopasować te wpisy do swoich parametrów.

Po za tym, napisz coś o sieci, czy przypadkiem dostawca NETU nie blokuje udostępniania netu przez np ttl=0 , albo wykrywaniu różnych wartości ttl na wyjściu.


Bo u Ciebie problem ma właśnie takie symptomy, a takie zabezpieczenia są częste m in w akademikach, czy w różnych usługach dla osób fizycznych.

Wtedy trzeba trochę "powalczyć" z adminem sieci, i np podbić TTL pakietów przychodzących, i ustalić na stały (np 128 TTL pakietów wychodzących.

np coś w stylu:

Kod: Zaznacz cały

iptables -t mangle -I PREROUTING -i eth0 -j TTL --ttl-set 128
iptables -t mangle -I POSTROUTING -o eth0 -j TTL --ttl-set 128

Sznurek:
http://pl.wikibooks.org/wiki/Sieci:Linu ... /akcje#TTL

To by było na tyle