Fireholl blokuje přenos souborů přes Jabber

[max007]

mam takovy dotaz, pouzivam jabber pres pidgina a firehol. Jabber funguje ale prenos souboru blokuje firehol, mohl by mi nekdo poradit co pridat do konfigurace fireholu aby propoustel data posilane pres jabber? dekuji

Kód: [Vybrat]

version 5

# Accept all client traffic on any interface
# interface any world
# client all accept

DEFAULT_CLIENT_PORTS="1024:65535"

server_icq_ports="tcp/5190"
client_icq_ports="default"

server_ssl_ports="tcp/995"
client_ssl_ports="default"

server_jbr_ports="tcp/5269"
client_jbr_ports="default"


interface eth+ internet
    policy drop
    protection strong 10/sec 10
    server ident reject with tcp-reset
   
    server ssh    accept
    server ping    accept
    server ftp    accept
    server vnc    accept
    server smtp    accept
    server pop3   accept   
   
    client jbr    accept
    client mms     accept
    client ssl    accept
    client dhcp    accept
    client dns    accept
    client http    accept
    client https    accept
    client ftp    accept
    client ntp    accept
    client ssh    accept
    client icq    accept
    client jabber    accept
    client cups    accept
    client samba    accept
    client ping    accept
    client vnc    accept
    client smtp    accept
    client pop3   accept

UNMATCHED_INPUT_POLICY="DROP"
UNMATCHED_OUTPUT_POLICY="DROP"
FIREHOL_LOG_LEVEL=4
Jeste sem pridal vypis konfiguraku

[Milhouse]

Nemá tam být něco z toho?
server http accept
server icmp accept

[max007]

vypis kernel.log pri (ne)prijimani souboru od kontaktu z jabberu na jabber

Kód: [Vybrat]

Oct 10 18:37:56 maximus-laptop kernel: [11956.528000] 'OUT-unknown:'IN= OUT=vmnet1 SRC=192.168.104.1 DST=192.168.104.255 LEN=266 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=246
Oct 10 18:37:56 maximus-laptop kernel: [11956.528000] 'OUT-unknown:'IN= OUT=vmnet8 SRC=192.168.244.1 DST=192.168.244.255 LEN=266 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=246
Oct 10 18:38:10 maximus-laptop kernel: [11969.952000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=192.168.105.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56107 DF PROTO=TCP SPT=58903 DPT=49706 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 10 18:38:13 maximus-laptop kernel: [11972.868000] ''IN-internet':'IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:e0:4d:00:7d:50:08:00 SRC=10.0.0.16 DST=10.255.255.255 LEN=237 TOS=0x00 PREC=0x00 TTL=128 ID=24704 PROTO=UDP SPT=138 DPT=138 LEN=217
Oct 10 18:38:13 maximus-laptop kernel: [11972.952000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=192.168.105.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56108 DF PROTO=TCP SPT=58903 DPT=49706 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 10 18:38:18 maximus-laptop kernel: [11978.088000] ''IN-internet':'IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:d4:b9:6e:ab:08:00 SRC=10.0.0.113 DST=10.255.255.255 LEN=235 TOS=0x00 PREC=0x00 TTL=128 ID=56870 PROTO=UDP SPT=138 DPT=138 LEN=215
Oct 10 18:38:19 maximus-laptop kernel: [11978.952000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=192.168.105.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56109 DF PROTO=TCP SPT=58903 DPT=49706 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 10 18:38:31 maximus-laptop kernel: [11990.952000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=192.168.105.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56110 DF PROTO=TCP SPT=58903 DPT=49706 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 10 18:38:55 maximus-laptop kernel: [12014.952000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=192.168.105.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56111 DF PROTO=TCP SPT=58903 DPT=49706 WINDOW=5840 RES=0x00 SYN URGP=0 poradi mi nekdo

[max007]

a jeste jeden vypis pri posilani souboru pres jabber z adresy 10.0.0.6 na 10.0.0.8 ale opravdu nic vic sem z toho nepochytil... snad nekdo z vas ano

Kód: [Vybrat]

Oct 10 22:17:21 maximus-laptop kernel: [ 4027.920000] 'OUT-unknown:'IN= OUT=vmnet1 SRC=192.168.104.1 DST=192.168.104.255 LEN=266 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=246
Oct 10 22:17:21 maximus-laptop kernel: [ 4027.920000] 'OUT-unknown:'IN= OUT=vmnet8 SRC=192.168.244.1 DST=192.168.244.255 LEN=266 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=246
Oct 10 22:17:47 maximus-laptop kernel: [ 4053.652000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=10.0.0.6 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=48257 DF PROTO=TCP SPT=35240 DPT=1851 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 10 22:17:50 maximus-laptop kernel: [ 4056.652000] ''OUT-internet':'IN= OUT=eth1 SRC=10.0.0.8 DST=10.0.0.6 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=48258 DF PROTO=TCP SPT=35240 DPT=1851 WINDOW=5840 RES=0x00 SYN URGP=0
tak bych tipoval ze to bude neco s DPT a SPT i kdyz nevim co to znamena

[Milhouse]

Máte nastaven "Data transfer proxy" třea na "proxy.netlab.cz"? Zkuste přenos v programu Psi.

[max007]

kdyz vypnu firehol tak prenos funguje. kdyz zapnu tak nikoliv

[max007]

Máte nastaven "Data transfer proxy" třea na "proxy.netlab.cz"? Zkuste přenos v programu Psi.

to sem taky zkusil ale nic

[nettezzaumana]

iptables -A INPUT -p tcp --dport 5222 -j ACCEPT
iptables -A INPUT -p tcp --dport 5223 -j ACCEPT
iptables -A INPUT -p tcp --dport 5269 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

jabber pouziva pro prenos souboru jine porty nez 5269 .. predpokladam, ze ten prenos nejde jenom zvenku dovnitr.. ?

to je potom zpusobeno natem, protoze nat odchozi paket zamasqueradi, ale prichozi neni zanatovany, jde z venku a neprobnehne tedy rule ESTABLISHED ..
je nutne udelat vyjimku pro porty na kterych jabber prenasi soubory a premapovat je na 5222, nebo dle libosti..

ciste teoreticky, kdyz budes mit tyto moduly:
modprobe ip_tables
modprobe ipt_REJECT
modprobe ipt_LOG
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe sip_conntrack
.. tak to bude fungovat i bez sloziteho premapovani

[max007]

a neni tento kod spis pro iptables nez pro frirehol? zkousel jsem to vsechno nakopirovat do konfiguraku fireholu a stejne to nepomohlo

[smejky]

Taky mi nejde přenos souborů přes jabber. A to i přesto, že vypnu firewall Firestarter. Fakt nikdo neví?

[pihhan]

Tak, jsem se vyděsil, když jsem vás tu četl, tak jsem se musel zaregistrovat, abych vám mohl odpovědět.

Takže, podle všeho netušíte ani přibližně, jak ten firewall vlastně funguje, a jak funguje přenos souborů.

Jde o to, jak jste připojen k internetu a jakou máte adresu. Pokud máte veřejnou adresu, půjde to. Pokud máte privátní, spíš ne. Privátní adresy začínají 10.xxx.xxx.xxx, 172.16.xxx.xxx nebo 192.168.xxx.xxx. Pokud ji máte, jste schovaní za routerem. Pokud je ten router váš nebo máte možnost jej ovlivnit (kamarádův), dá se to možná ještě zachránit.

Takže, pokud máte veřejnou adresu - taky to poznáte tak, že přenos souborů funguje při vyplém firewallu - potřebujete, aby někdo zvenčí se mohl připojit na váš počítač. Pidgin přenáší soubory tak, že se "domluví" s pidginem toho, kdo posílá soubor, že jeden z nich otevře port, druhý se na něj připojí. Takže, musíte povolit, aby požadavky odcházející z vašeho počítače. Problém je, že pidgin se domluví na portech s protistranou, a ty si vymyslí jenom jedna strana. Co si vymýšlí váš pidgin si můžete nastavit - a budete muset.

V pidginu, záložka síť, je tam uvedený rozsah portů. 1024-65535. Tohle je třeba zůžit, třeba na 5 portů. Normálně by to mělo být použité jenom když se přenáší soubor, takže o nic nejde. Vyberu si port nad 1024, jedno jaký. Nastavím tam třeba 3500 - 3505. Pidgin by měl pro přenosy souborů používat jenom tyhle porty.

# nadefinuju porty ve fireholu
# doufam ze rozsah se dela dvojteckou, nezkousel jsem
server_pgtransfer_ports="tcp/3500:3505"
client_pgtransfer_ports="default"

#porom přidám do interface
# povoleni prenosu
   server accept pgtransfer

# povolit veskery odchozi provoz
# co odchazi nehodlam povolovat po jednom, to muzu ovlivnit
# sam, povolim vsechno
   client all accept

A teoreticky by to mělo být schopné navázat spojení a začít přenášet. Nezkoušel jsem, nemám veřejnou IP a tak mě tohle ani jít nemůže. Pokud nemáte taky, máte smůlu, přenášet nebudete. Řešení je jedině použít gajim, případně psi, s nastavením v poslední záložce účtu nastavit filetransfer proxy na: proxy.netlab.cz. Pidgin tohle neumí, s ním to nepůjde. Pozor! pokud je na výběr HTTP proxy, jsem na špatném místě, není proxy jako proxy, a filetransfer proxy je jenom na přenos souborů, v Psi je to jedno prázndé políčko. Pokud je tam výběr mezi SOCKS, HTTP a tak, jste na špatném místě.

Poslední věc, mě docela vyděsila. max007 má ve svém configu:
server accept ssh
server accept ping
server accept ftp
...

Prosím vás, já firehol nepoužívám, ale jestli se nepletu, jako že jsem se díval na dokumentaci, tímhle jste pustil kohokoliv z venku na sluzbu ssh, povolil mu ping, povolil se dostat na vase ftp a vsechny ostatni nebezpecne sluzby. Pokud neni zcela jiste, ze prave tohle chcete, rychle to dejte pryc. Timhle totiz krasne vyrazujete jakykoliv ochranny efekt firewallu, protoze nebezpecna individua poustite otevrenymi dvermi dovnitr, zatimco vlastniho pidgina ven pustit nechcete.

server znamena, ze vy chcete provozovat server na svem pocitaci a chcete, aby se na nej dostali i lide z internetu.
client znamena, ze vas program se chce pripojit nejakm do internetu k nejakemu serveru, tedy ze vy fungujete jako klient. Pokud nejste hodne paranoidni o zneuzivani osobnich informaci o vas, povolte vsechny odchozi spojeni (povolit vsechny klienty), zakazte vsechny servery, ktere nejsou nutne dostupne z internetu.
Pravdepdoobne jediny server, ktery chcete provozovat, je pidgin a jeho nabizeni souboru. Takze, podle me by melo nastaveni vypadat nejak takto:

version 5
DEFAULT_CLIENT_PORTS="1024:65535"
# nadefinuju porty ve fireholu
# doufam ze rozsah se dela dvojteckou, nezkousel jsem
server_pgtransfer_ports="tcp/3500:3505"
client_pgtransfer_ports="default"

interface eth+ internet
    policy drop
    protection strong 10/sec 10
    server ident reject with tcp-reset
    server pgtransfer accept
    client all accept
   

Tohle by melo stacit, zadne speciality nejsou treba. Zakladni ochranu to udela. Pripadne pokud delate web na vlastnim pocitaci, povolte si http.

Pokud mate privatni IP adresu (adresa z prikazu ifconfig ma tvar 10.xxx.xxx.xxx, 172.16.xxx.xxx nebo 192.168.xxx.xxx) tak vam muze pomoct jedine presmerovani portu. Pokud mate router vlastni, pravdepodobne harwarova krabicka, ktery verejnou adresu ma (jak to zjistit, pres ovladaci panel zkusit zjistit adresu, obvykle pres webovy prohlizec), je mozne to zprovoznit. Proste vyrobite preposilani portu z routeru an vasi privatni IP. Pokud pouzijete moje cisla portu, musite nastavit presmerovani port 3000, 3001, 3002, 3003, 3004, 3005 na IP adresu vaseho pocitace. Routery to obvykle neumi zadat jako rozsah od-do, takze to musite otrocky naklepat po jednom, proto taky jenom 5 portu

Jinak necekejte ze vam odpovim na dalsi dotazy, byl jsem tu nahodou a jako neuzivatel ubuntu sem nechodim casto. Sve dotazy smerujte do dokumentace, do anglickeho slovniku, do strejdy googla. Pokud vam to nejde, zkuste v googlu najit "jak funguje nat", at aspon orientacne vite, co v tom firewallu chcete nastavit. Metodou pokus omyl je to na dlouho.

[Petr Merlin Vaněček]

Trochu jsem upravil ten text, co jsem dal pihhan co se týče rozsahů ip adres a pár dalších drobností.

Jen si dovolím ještě osobní poznámku - nevidím vůbec nic špatného na povoleném ssh, icmp a ftp - osobně mám otevřeno ještě více portů Například http, smtp, pop3, imap ... Co se bezpečnosti týče, tak doufám, že mi nechce pihhan tvrdit, že je ssh nebezpečné. Myslím si, že autorizace podle hesla je dostatečná, pokud se vám to nezdá, můžete využívat certifikáty. ICMP - jediné možné napadení je možné z hlediska flood resp. DoS, ovšem toto řeší distribuční jádro poměrně elegantně, takže ani toho bych se neobávál (krom toho kontroly nad systémem by ani v případě úspěšného floodu nedosáhl). A FTP? Skoro bych si troufl tvrdit, že existují milióny počítačů s otevřeným portem 21 a nikdo je nikdy nijak nehacknul