摩托學園討論區

[訪客]

如題
因為本來都是開放幾個特定port而已
而最近開始使用xmule
當然，連server的 4242 或4661 等開放，然後可以連上去沒錯
不過因為是p2p的關係，所以資料是從別的客戶端傳過來的
正因為這樣，port便無法固定了......

所以不知大家都是用什麼方法來設定iptable
謝謝

[d2207197]

如題
因為本來都是開放幾個特定port而已
而最近開始使用xmule
當然，連server的 4242 或4661 等開放，然後可以連上去沒錯
不過因為是p2p的關係，所以資料是從別的客戶端傳過來的
正因為這樣，port便無法固定了......

所以不知大家都是用什麼方法來設定iptable
謝謝

我不怎麼嚴也...只鎖 1~1000 port
然後看有什麼服務再打開
iptables -A INPUT -i eth0 -p tcp --dport 1:1000 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

[訪客]

突然想到
一般，iptable是依port來擋封包
不過不知有沒辦法依軟體來判別

像這個軟體要存取網路的話，就放行

[d2207197]

應該沒有吧，iptables 非常前端，感覺上他管不到應用程式

用 hosts.deny 配合不是頗好

[rollboy]

突然想到
一般，iptable是依port來擋封包
不過不知有沒辦法依軟體來判別

像這個軟體要存取網路的話，就放行

嘿...這想問!
linux上有辦法這樣做嗎?
像我在win上裝的firewall就有這功能....

[d2207197]

嘿...這想問!
linux上有辦法這樣做嗎?
像我在win上裝的firewall就有這功能....

我上面有說阿 hosts.deny

[阿信]

突然想到
一般，iptable是依port來擋封包
不過不知有沒辦法依軟體來判別

像這個軟體要存取網路的話，就放行

嘿...這想問!
linux上有辦法這樣做嗎?
像我在win上裝的firewall就有這功能....

看要針對什麼樣的軟體。

比如MSN or Game

微軟的遊戲有固定幾個port，針對那些port設防就可以了。

windows上得firewall應該還是用抵擋port，但並沒有顯示出那些port改以用ap。

[d2207197]

最近看了一些 iptables 文章...大多是鳥哥的
所以...改成這樣設..比較安全

代碼: 選擇全部

iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j ACCEPT
done
iptables -A INPUT -p TCP -i eth0 --dport  22 -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport  80 -j ACCEPT

[rollboy]

http://mldonkey.berlios.de/modules.php? ... ortsToOpen
剛剛看到的...原來官網也有說明...底下是他們做的範例

代碼: 選擇全部

#!/bin/bash
##
# Shell script to insert iptables rules opening the required ports for MLDonkey.
# Currently supported networks are Edonkey2000, Overnet and BitTorrent.

# Please modify the following configuration settings according to your own
# setup.
IF=ppp0
IPTABLES=/sbin/iptables
MLDONKEY_HOST=192.168.1.2
EDONKEY_PORT=4662
OVERNET_PORT=5865
BITTORRENT_PORT=6882


## MLDonkey acting as Edonkey2000 client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $EDONKEY_PORT -j ACCEPT
$IPTABLES -I FORWARD -p udp -m udp --dport $(($EDONKEY_PORT + 4)) -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $EDONKEY_PORT -j DNAT --to-destination $MLDONKEY_HOST
$IPTABLES -t nat -I PREROUTING -i $IF -p udp -m udp --dport $(($EDONKEY_PORT + 4)) -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as Overnet client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $OVERNET_PORT -j ACCEPT
$IPTABLES -I FORWARD -p udp -m udp --dport $OVERNET_PORT -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $OVERNET_PORT -j DNAT --to-destination $MLDONKEY_HOST
$IPTABLES -t nat -I PREROUTING -i $IF -p udp -m udp --dport $OVERNET_PORT -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as Edonkey2000 server
# $IPTABLES -I FORWARD -p tcp -m tcp --dport $(($EDONKEY_PORT - 1)) -j ACCEPT
# $IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $(($EDONKEY_PORT - 1)) -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as BitTorrent client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $BITTORRENT_PORT -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $BITTORRENT_PORT -j DNAT --to-destination $MLDONKEY_HOSTp

[訪客]

http://mldonkey.berlios.de/modules.php?name=Wiki&pagename=WhatFirewallPortsToOpen
剛剛看到的...原來官網也有說明...底下是他們做的範例

代碼: 選擇全部

#!/bin/bash
##
# Shell script to insert iptables rules opening the required ports for MLDonkey.
# Currently supported networks are Edonkey2000, Overnet and BitTorrent.

# Please modify the following configuration settings according to your own
# setup.
IF=ppp0
IPTABLES=/sbin/iptables
MLDONKEY_HOST=192.168.1.2
EDONKEY_PORT=4662
OVERNET_PORT=5865
BITTORRENT_PORT=6882


## MLDonkey acting as Edonkey2000 client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $EDONKEY_PORT -j ACCEPT
$IPTABLES -I FORWARD -p udp -m udp --dport $(($EDONKEY_PORT + 4)) -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $EDONKEY_PORT -j DNAT --to-destination $MLDONKEY_HOST
$IPTABLES -t nat -I PREROUTING -i $IF -p udp -m udp --dport $(($EDONKEY_PORT + 4)) -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as Overnet client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $OVERNET_PORT -j ACCEPT
$IPTABLES -I FORWARD -p udp -m udp --dport $OVERNET_PORT -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $OVERNET_PORT -j DNAT --to-destination $MLDONKEY_HOST
$IPTABLES -t nat -I PREROUTING -i $IF -p udp -m udp --dport $OVERNET_PORT -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as Edonkey2000 server
# $IPTABLES -I FORWARD -p tcp -m tcp --dport $(($EDONKEY_PORT - 1)) -j ACCEPT
# $IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $(($EDONKEY_PORT - 1)) -j DNAT --to-destination $MLDONKEY_HOST

## MLDonkey acting as BitTorrent client
$IPTABLES -I FORWARD -p tcp -m tcp --dport $BITTORRENT_PORT -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i $IF -p tcp -m tcp --dport $BITTORRENT_PORT -j DNAT --to-destination $MLDONKEY_HOSTp

看起來好像怪怪的.....
用了之後，跟我之前的結果一樣
連的上server，不過連上去之後完全沒動靜
好像收不到其他人的狀態....

[訪客]

最近看了一些 iptables 文章...大多是鳥哥的
所以...改成這樣設..比較安全

代碼: 選擇全部

iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j ACCEPT
done
iptables -A INPUT -p TCP -i eth0 --dport  22 -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport  80 -j ACCEPT

老實說，看不太懂說~
不過用了之後，是可以了
不過，老是會出現
"Impossible to set permissions for '路徑.BAK'(error 1 :此項操作不被允許) "

感覺好像是因為我放在fat裡，不過我權限是設777全開阿？？

[d2207197]

fat 本來就不能對檔案作權限設定

[訪客]

fat 本來就不能對檔案作權限設定

不是耶~~
我是說我的etc/fstab裡是用

代碼: 選擇全部

/dev/hdb1       /hd2            vfat    iocharset=big5,umask=0

umask=0，所以掛上去的檔案都是 rwxrwxrwx 阿

不過，由之前那個訊息，感覺上沒辨法去寫那個 .bak
就沒辨法開始載說~~~

[訪客]

最近看了一些 iptables 文章...大多是鳥哥的
所以...改成這樣設..比較安全

代碼: 選擇全部

iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j ACCEPT
done
iptables -A INPUT -p TCP -i eth0 --dport  22 -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport  80 -j ACCEPT

不知道裡面提到的icmp方面是什麼功能阿
因為我只用

代碼: 選擇全部

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

也是ok的，老實說，實在不太懂 RELATED 是什麼意思
因為，這是說，除了 已建立的和 RELATED 可以過
其他的drop 掉

不過這樣用起來感覺上和沒有設一樣耶~~
實在不太懂這條到底是什麼意思耶....

[d2207197]

不知道裡面提到的icmp方面是什麼功能阿

請看鳥哥網站：
http://linux.vbird.org/linux_server/0110network_basic.php#packet_icmp
常用的 ping...就是用 icmp 通訊協定

因為我只用

代碼: 選擇全部

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

也是ok的，老實說，實在不太懂 RELATED 是什麼意思
因為，這是說，除了 已建立的和 RELATED 可以過
其他的drop 掉

不過這樣用起來感覺上和沒有設一樣耶~~
實在不太懂這條到底是什麼意思耶....

引用鳥哥的圖片
這是 tcp 封包的三向交握
前面的 SYN/ACK 就算是 RELATED 的封包
如果把這個封包檔下來，那你的電腦就無法連外面的 server 囉

ESTABLISHED 就是連線建立以後的封包