English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Messages posted by: Voyage146  XML
Profile for Voyage146 Messages posted by Voyage146 [ number of posts not being displayed on this page: 0 ]
 
Thảo luận hệ điều hành *nix  Empty  Go to message
Rules đó không có vấn đề gì b nhé. Vẫn rule đó nhưng VPN mình cũng hoạt động thành công rồi smilie. Cảm ơn mọi người đã giúp mình hiểu được những điều cơ bản nhất về iptables, đặc biệt là bạn flygon smilie.
Khi có thời gian mình sẽ cố tìm hiểu sâu hơn và lúc đó mong được thảo luận nhiều hơn với mọi người.
Thảo luận hệ điều hành *nix  Empty  Go to message
Xin lỗi vì trả lời muộn, mình hơi bận trong thời gian rồi.
2 command đầu mình không nói, vì nó cần thiết để tạo kết nối VPN giữa 2 site. Còn lúc đầu khi mới cấu hình mình cũng dùng các command dưới này để cấu hình cho kết nối VPN:
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Nhưng khi thay bằng các command như post trước của mình thì mọi thứ vẫn hoạt động bình thường mặc dù là INPUT DROP (k permit tun+) ?
Mình cũng đang làm về OpenVPN, ae có vấn đề j thì post trong đây luôn nhé.
Thảo luận hệ điều hành *nix  Empty  Go to message
Hôm đó nhờ có bạn robinhood_10889, mà mình đã cấu hình thành công. Sau đó mình có cấu hình openvpn trên Server B và áp dụng điều học được từ bài lab trước khi cấu hình iptables cho server B:
Code:
:INPUT DROP [0:0]
:FORWARD DROP [18:1604]
:OUTPUT ACCEPT [629:608994]
-A INPUT -s 10.2.32.189/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.2.32.189/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1194 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 1024:65535 --dport 1194 -j ACCEPT
-A OUTPUT -d 10.2.32.189/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.2.32.153/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


Theo mình nghĩ thì khi host đi từ bên A qua vpn để sử dụng các dịch vụ ở sau server B (do các server sau B cung cấp) thì chỉ luật trong FORWARD điều khiển các luồng traffic này thôi chứ nhỉ? Vậy tại sao khi mình chuyển OUTPUT từ ACCEPT sang DROP thì kết nối lại mất từ cả 2 bên??? Rất mong ae giúp mình lần nữa, mình xin cảm ơn nhiều smilie
Thảo luận hệ điều hành *nix  Empty  Go to message
Cảm ơn các bạn đã reply rất nhiều smilie.
@invalid_password: bạn nên đọc lại các case có trong diễn đàn. Policy này sẽ thực hiện tất cả các rule mình đã đưa vào trước, cuối cùng mới là drop all.
@robinhood_10889: cảm ơn bạn rất nhiều nhé, trước mình có hiểu nhầm một chút nên cấu hình không thành công chứ không phải quên đâu smilie . Nhờ bạn mà mình đã hiểu ra nhiều thứ rồi.
P/s: có bạn nào có quyển sách nào hay và đầy đủ về iptables thì giới thiệu cho mình vs nhé, tiếng anh cũng được , mình xin cảm ơn rất nhiều.
Thảo luận hệ điều hành *nix  Empty  Go to message
Tôi mới tìm hiểu về iptables và đang làm lab nhưng không thành công, mong được mọi người chỉ bảo, xin cảm ơn rất nhiều.
Hiện tại bài lab thực hiện trên 1 server có 2 NIC: eth0 là EXTINF (10.2.24.12) và eth1 là INTINF (172.16.1.1). Tôi có cắm 1 laptop vào eth1 và lấy ip là 172.16.1.2. Khi không cấu hình iptables, hoặc làm theo kiểu "cho phép tất cả trước, chặn cụ thể sau" thì laptop có thể sử dụng đựoc tất cả các dịch vụ nội bộ. Nhưng nếu muốn "chặn tất cả trước, cho phép cụ thể sau" thì không được (kiểu này sau khi đọc bài trong HVA thấy hay nên rất muốn thử smilie). Đây là cấu hình tôi sử dụng:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -p tcp --dport 0:65535 -j ACCEPT
iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -p udp --dport 0:65535 -j ACCEPT
iptables -A FORWARD -s 172.20.1.2 -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Sau khi sử dụng cấu hình này thì lap của tôi không thể sử dụng bất kì dịch vụ nội bộ nào cả.
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|