При включении форвардинга на suse 13.1 включается большинство портов для пользователей internet и теперь они безнаказанно пользуются торент-клиентами и играют в игрушки. Как можно закрыть ненужные порты?
пт, 25/04/2014 - 15:29
#1
suse 13.1 Закрытие портов
Отредактировано: iwtke вкл 26/06/2014 - 12:25
yast -> сетевые службы -> брэндмауэр
Нет такого ищу в пакетах Brandmauer для установки тоже нет
может попробывать так:
1. iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP
или так
2. iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
Как правильно правило такого типа написать?
брандмауэр нужно искать не в пакетах, а в yast. он обычно включен в стандартную установку openSUSE.
Правильно заданный вопрос – половина ответа.
документация по susefirewall /usr/share/doc/packages/SuSEfirewall2
все свое дописывается сюда:
/etc/sysconfig # cat SuSEfirewall2 |grep CUSTOMRUL
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
Все глюки Windows исправляются установкой Linux!
Так вот правильно ли написать:
1. iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP
или так
2. iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
Для "ipp2p" требуется поддержка ipp2p в ядре и iptables
Насчет поддержки я не знаю. Думаю второй вариант должен сработать
Все глюки Windows исправляются установкой Linux!
ЗЫ не работает
iptables -I FORWARD -o eth0 -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
Как именно не работает, как проверяли?
Подождал минут 10 пока применит правила.
Скачиваю торент файл на виндовской машине, запускаю торент клиент и качается
На данный момент iptables выглядит так: Может что то конфликтует???
#! /bin/sh
#
iptables -F;
iptables -t nat -F;
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE;
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128;
iptables -t nat -A PREROUTING -i enp3s0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128;
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A FORWARD -o eth0 -p tcp -m state --state NEW -m multiport --dport 110,25,465,995 -j ACCEPT;
iptables -A FORWARD -o enp2s0 -p tcp -m state --state NEW -m multiport --dport 110,25,465,995 -j ACCEPT;
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT;
#################NEW KODE#############################################################
iptables -N LOGDROP > /dev/null 2> /dev/null
iptables -F LOGDROP
iptables -A LOGDROP -j LOG --log-prefix "LOGDROP"
iptables -A LOGDROP -j DROP
#Torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j LOGDROP
#DHT keyword
iptables -A FORWARD -m string --string "get_peers" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "announce_peer" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "find_node" --algo bm -j LOGDROP
Вызывает сомнение создание лога:
iptables -N LOGDROP > /dev/null 2> /dev/null
И как просмотреть этот лог???
Может с SUSEFirewall конфликтует.
В OpenSUSE следует использовать SUSEFirewall. Не уверен даже, что изменения с помощью iptables будут сохранены.
Впрочем, у меня роутер и брандмауер просто выключен.