iptables problem.

at du ikke har lavet en chain med navnet forward...

iptables -N FORWARD

ah... okay :) må jeg hellere prøve så :)

det kunne godt være, at det ville være smart for dig at læse dokumentationen lidt, da det lader til, at du ikke helt forstår iptables...

http://netfilter.samba.org/

jeg forstår skam iptables, har læst den howto du hentyder til.
men af en eller anden grund går alt galt for mig idag :/
kender du det?

mit script ser sådan her ud.
intnet=eth0
extnet=eth1
intip=10.0.0.0/24
extip=192.169.0.1/24
iptables -F
iptables -t nat -F

echo 0 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -d ! $extip -j MASQUERADE
iptables -A FORWARD -s $extip -j ACCEPT
iptables -A FORWARD -d $extip -j ACCEPT
iptables -A FORWARD -s ! $extip -j DROP

iptables -A FORWARD -p tcp -s $intip -m multiport --dport 311,412,2386,5000,1214,4661,4662,4665,6346,6349,2078,6698,41178,137 -j DROP
iptables -A FORWARD -p udp -s $intip -m multiport --dport 137,412 -j DROP
iptables -A FORWARD -p tcp -s $intip -m multiport --dport 41170 -j DROP
iptables -A FORWARD -d 216.234.161.226 -j DROP
iptables -A FORWARD -d 64.71.145.202 -j DROP
iptables -A FORWARD -d 64.49.201.9 -j DROP
iptables -A FORWARD -d 64.245.59.0/24 -j DROP
iptables -A FORWARD -d 64.245.58.0/24 -j DROP
iptables -A FORWARD -d 66.51.127.241 -j DROP
iptables -A FORWARD -d 66.51.127.242 -j DROP
iptables -A FORWARD -d 63.217.29.252 -p all -j DROP
iptables -A FORWARD -d 213.248.112.0/24 -p all -j DROP
iptables -A FORWARD -d 64.124.41.0/24 -j DROP
iptables -A FORWARD -d 206.142.53.0/24 -j DROP
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 209.25.178.0/24 -j DROP

iptables -A FORWARD -p tcp --syn --dport 21 -m iplimit --iplimit-above 4 -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward

hvis du havde lyst til at "view the whole picture"
for jeg har allerede en chain ved navn FORWARD

kig eventuelt her for inspiration

http://www.braindump.dk/dk/wiki/?wikipage=IpTables

jeg har lige fået at vide i min øresnegl at iplimit ikke er med som standard, og derfor brokker den sig, så det prøver jeg lige at installere

Det var en snodig syntaks:
iptables -A FORWARD -p tcp --syn --dport 20 -m iplimit --iplimit-above 4 -j DROP

Hva er det denne linjen skal gjøre / lage.

Det er ikke rett at du behøver å opprette en chain som heter FORWARD.
Den finnes som default.

FORWARD chain kan ikke gjøre noe som helst alene. Den kan settes opp til å kjøre som filter i forbindelse med SNAT og DNAT, altså noe annet enn FORWARD må "sette i gang trafikken" og så kan man filtrere ved hjelp av FORWARD. Å filtrerre en trafikk som ikke finnes gir ingen mening.

Hvordan ser hele firewall ut ? (Ingen FORWARD regel kan kjøre på noen fornuftig måte alene. Den eventuelt nyttige funksjon skjer i samarbeide med andre regler.)

Beklager her skjede det noe som ikke skulle skje en "kladd" føk avgåde før jeg fikk rettet den. (Trekkes tilbake.)

Denne gir trafikk (sansynligvis):
iptables -t nat -A POSTROUTING -d ! $extip -j MASQUERADE

resten av FORWARDING setningene sørger for filtrering av utgående trafikk slik at de innvendige brukere ikke kan nå visse ip adresser. Det er sperret for alle serverfunksjoner både på firewall maskinen selv og i forhold til de servere som måtte ligge på LAN.

Er det dette som er meningen ??

Skal denne linjen:
iptables -A FORWARD -p tcp --syn --dport 20 -m iplimit --iplimit-above 4 -j DROP
bety noe slikt som:
Dersom en innvendig bruker forsøker å initiere port 20 komunikasjon mer enn fire ganger, sperr for videre komunikasjon på port 20 ???

den skulle faktisk spærre for port 20 hvis der allerede er 4 der bruger den..
men er gået væk fra den idé igen

OK, hva har du tenkt videre ? Kjører ellers tingene ok ?

Litt mer "tolkning":

iptables -A FORWARD ** Append - Føy regel til slutten av kjeden FORWARD
-p tcp ** protokol protokoll tcp
--syn ** skal bare matche packets med syn bit set og ACK og FIN bits cleared
--dport 20 ** addressert port 20 (Kan man sette dette inn her ?)
-m ** match
iplimit --iplimit-above 4 ** Finner ikke dette beskrevet i på man siden. Feil ?? "Klasifiseres" muliggens som en ukjent kjede.
-j DROP ** jump tp drop

http://www2.linuxpakistan.net/man.php?query=iptables&apropos=0&section=0&type=2

langbien, nu er det ikke for at virke sur eller noget, men har rimeligt svært ved at læse hvad du skriver, er det muligt at du kunne evt skrive engelsk i dette indlæg.

jeg har fået det rules set af en af mine venner, men grunden til at den ikke vil kendes ved det er at iplimit ikke er med i iptables som standard....
så det skal lige kompileres om :)

Jeg skriver jo på dansk bare med noen mindre stavefeil. :)
jo jeg tenkte på det at iplimit kanskje var en eller annen oppgradering (upgrading) av iptables som kanskje står dokumentert et eller annet sted (some place)
http://netfilter.samba.org

Jo faktisk du har rett, det er en oppgradering eller en patch. Se tekst under eller linken. Syntaksen din ser heller ikke ut til å være så gal.

http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html


3.3 iplimit patch
This patch by Gerd Knorr <kraxel@bytesex.org> adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network.

For example, let's limit the number of parallel HTTP connections made by a single IP address to 4 :


# iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT

# iptables --list
Chain INPUT (policy ACCEPT)
target  prot opt source    destination       
REJECT  tcp  --  anywhere  anywhere    tcp dpt:http flags:SYN,RST,ACK/SYN #conn/32 > 4 reject-with icmp-port-unreachable


Or you might want to limit the number of parallel connections made by a whole class A for example :


# iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT

# iptables --list
Chain INPUT (policy ACCEPT)
target  prot opt source    destination       
REJECT  tcp  --  anywhere  anywhere    tcp dpt:http flags:SYN,RST,ACK/SYN #conn/8 > 4 reject-with icmp-port-unreachable


Supported options for the iplimit patch are :


[!] --iplimit-above n
-> match if the number of existing tcp connections is (not) above n

--iplimit-mask n
-> group hosts using mask

Og det meste er jo på englesk ! He, he :)

langbein -> jeg gætter på at du er nordman, men hvor bor du henne af i verden?

Har nok flyttet hjem nå. (Stavanger) Bodde på "dansk" område tidligere. Nuuk. Brukte engelsk og dansk som arbeidsspråk den gang. Har så vidt lært å skrive på norsk igjen.

well...
har lige patchet min iptables og nu kører det jo som det skal :)