Настройка iptables в графической оболочке fwbuilder.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Настройка iptables в графической оболочке fwbuilder.
Всем привет!
Попытался настроить фаервол iptables, установив Firewall Builder из программы "Установка/удаление" и применив встроенный шаблон: Настроил правила: но установить не удалось: Проверил аналогичные настройки на виртуальной машине (ОС Mint Linux и OpenSUSE). Точно такая же картина: настройки не устанавливаются и не применяются.
В чём моя ошибка? Возможно, мешает системный фаервол. Возможно программу не поддерживает система.
Помогите разобраться.
Спасибо.
Попытался настроить фаервол iptables, установив Firewall Builder из программы "Установка/удаление" и применив встроенный шаблон: Настроил правила: но установить не удалось: Проверил аналогичные настройки на виртуальной машине (ОС Mint Linux и OpenSUSE). Точно такая же картина: настройки не устанавливаются и не применяются.
В чём моя ошибка? Возможно, мешает системный фаервол. Возможно программу не поддерживает система.
Помогите разобраться.
Спасибо.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
На виртуальной системе удалил системный фаервол и попробовал настроить fwbuilder. Бесполезно. Круг замкнулся.
Re: Настройка iptables в графической оболочке fwbuilder.
Видимо, никто кроме вас здесь не пытался это делать. Может, оно и не надо?
Re: Настройка iptables в графической оболочке fwbuilder.
fwbuilder в странное место отправляет правила >> /etc/
Может надо в /etc/rc.d/..? Хотя все зависит от содержимого скрипта.
Если не ошибаюсь drakfirewall хранит создаваемые правила тут - /etc/ifw/rules.d/
Может быть ещё мешает shorewall?
P.S. Скрипт вроде должен быть исполняемым, вот например, /etc/rc.d/rc
Может надо в /etc/rc.d/..? Хотя все зависит от содержимого скрипта.
Если не ошибаюсь drakfirewall хранит создаваемые правила тут - /etc/ifw/rules.d/
Может быть ещё мешает shorewall?
P.S. Скрипт вроде должен быть исполняемым, вот например, /etc/rc.d/rc
Код: Выделить всё
$ file /etc/rc.d/rc
/etc/rc.d/rc: Bourne shell script text executable
$ ls -la /etc/rc.d/rc
-rwxr-xr-x 1 root root 2401 апр 18 2014 /etc/rc.d/rc
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Куда в настройках укажите, туда он и отправляет. Про встроенный фаервол я уже писал выше: удалял его на виртуальных машинах и на других ОС - бесполезно. Думаю, дело в другом. В параметрах установки необходимо указать полный путь к ssh и к scp. К ssh я, вроде бы, нашёл (/etc/ssh/ssh_config), а вот к scp н могу. При таких настройках программа "задумывается", но всё равно происходит обрыв связи. Думаю, если корректно указать путь к утилите scp, возможно и удастся загрузить конфигурацию.*d0s писал(а):fwbuilder в странное место отправляет правила >> /etc/
Может надо в /etc/rc.d/..? Хотя все зависит от содержимого скрипта.
Если не ошибаюсь drakfirewall хранит создаваемые правила тут - /etc/ifw/rules.d/
Может быть ещё мешает shorewall?
P.S. Скрипт вроде должен быть исполняемым, вот например, /etc/rc.d/rcКод: Выделить всё
$ file /etc/rc.d/rc /etc/rc.d/rc: Bourne shell script text executable $ ls -la /etc/rc.d/rc -rwxr-xr-x 1 root root 2401 апр 18 2014 /etc/rc.d/rc
Re: Настройка iptables в графической оболочке fwbuilder.
/usr/bin/scp - оно?aleksandr-070255 писал(а): Куда в настройках укажите, туда он и отправляет. Про встроенный фаервол я уже писал выше: удалял его на виртуальных машинах и на других ОС - бесполезно. Думаю, дело в другом. В параметрах установки необходимо указать полный путь к ssh и к scp. К ssh я, вроде бы, нашёл (/etc/ssh/ssh_config), а вот к scp н могу. При таких настройках программа "задумывается", но всё равно происходит обрыв связи. Думаю, если корректно указать путь к утилите scp, возможно и удастся загрузить конфигурацию.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Наверное оно. Но... не получается.*d0s писал(а):/usr/bin/scp - оно?aleksandr-070255 писал(а): Куда в настройках укажите, туда он и отправляет. Про встроенный фаервол я уже писал выше: удалял его на виртуальных машинах и на других ОС - бесполезно. Думаю, дело в другом. В параметрах установки необходимо указать полный путь к ssh и к scp. К ssh я, вроде бы, нашёл (/etc/ssh/ssh_config), а вот к scp н могу. При таких настройках программа "задумывается", но всё равно происходит обрыв связи. Думаю, если корректно указать путь к утилите scp, возможно и удастся загрузить конфигурацию.
Re: Настройка iptables в графической оболочке fwbuilder.
Тогда уж такaleksandr-070255 писал(а): Наверное оно. Но... не получается.
/usr/bin/ssh
/usr/bin/scp
вроде требуется указать путь к утилитам, а не к конфигам.
Я бы ни за что не запустил fwbuilder через su или sudo. Не уверен, что шаблоны тамошние рабочие.
Скомпилировал бы скрипт rc.iptables.fw с помощью fwbuilder и перенес в /etc/fw. Затем бы создал cкрипт /etc/rc.d/rc.local с таким содержимым и запустил
Код: Выделить всё
/etc/fw/rc.iptables.fw
exit 0
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Чувствую, не осилить мне эту проблему. А заинтересованных специалистов не нашлось. А так тыкать пальцем в небо можно и бесконечно.
Re: Настройка iptables в графической оболочке fwbuilder.
Прошу прощения, ошибся.
Re: Настройка iptables в графической оболочке fwbuilder.
У Вас свой отдельный шаблон или использовали тот что в fwbulder?aleksandr-070255 писал(а):Чувствую, не осилить мне эту проблему. А заинтересованных специалистов не нашлось. А так тыкать пальцем в небо можно и бесконечно.
Что-то там не увидел подходящего для себя шаблона, для одной машины, какие-то eth*.
Неполная картина в логах получается.
Re: Настройка iptables в графической оболочке fwbuilder.
Может быть ssh не запущен
http://www.fwbuilder.org/4.0/docs/users ... o_fw.shtml
https://sourceforge.net/p/fwbuilder/dis ... /22eb29c4/
Код: Выделить всё
# service sshd status
# systemctl - l | grep -i ssh
https://sourceforge.net/p/fwbuilder/dis ... /22eb29c4/
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Наименования интерфейсов надо проставлять те, что у нас в системе (смотрим ifconfig).*d0s писал(а):У Вас свой отдельный шаблон или использовали тот что в fwbulder?aleksandr-070255 писал(а):Чувствую, не осилить мне эту проблему. А заинтересованных специалистов не нашлось. А так тыкать пальцем в небо можно и бесконечно.
Что-то там не увидел подходящего для себя шаблона, для одной машины, какие-то eth*.
Неполная картина в логах получается.
Я и сам пробовал создать компиляцию, и брал шаблоны из программы (естественно, заменив наименования интерфейсов).
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Сегодня ставил утром Росу на ноутбук и обратил внимание, что по умолчанию при установке не стоит галка "включить SSH". Раньше на это и не заморачивался. И подумал, что эту службу надо включить и попробовать. И Вы об этом подумали. Сейчас нет времени, но точно знаю, что она у меня была не включена (уже включил). По это причине, возможно, и идёт обрыв соединения. Буду позже ещё раз пытаться со включённой службой. Но надо, считаю, системный фаервол удалить, чтоб не случился конфликт, так как оба работают с iptables.*d0s писал(а):Может быть ssh не запущенhttp://www.fwbuilder.org/4.0/docs/users ... o_fw.shtmlКод: Выделить всё
# service sshd status # systemctl - l | grep -i ssh
https://sourceforge.net/p/fwbuilder/dis ... /22eb29c4/
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Не получилось.aleksandr-070255 писал(а):Сегодня ставил утром Росу на ноутбук и обратил внимание, что по умолчанию при установке не стоит галка "включить SSH". Раньше на это и не заморачивался. И подумал, что эту службу надо включить и попробовать. И Вы об этом подумали. Сейчас нет времени, но точно знаю, что она у меня была не включена (уже включил). По это причине, возможно, и идёт обрыв соединения. Буду позже ещё раз пытаться со включённой службой. Но надо, считаю, системный фаервол удалить, чтоб не случился конфликт, так как оба работают с iptables.*d0s писал(а):Может быть ssh не запущенhttp://www.fwbuilder.org/4.0/docs/users ... o_fw.shtmlКод: Выделить всё
# service sshd status # systemctl - l | grep -i ssh
https://sourceforge.net/p/fwbuilder/dis ... /22eb29c4/
Re: Настройка iptables в графической оболочке fwbuilder.
И это тоже?
Может надо править /etc/openssh/sshd_config
и демон активен, проверяли?The built-in policy installer will not work if ssh access to the firewall is not working. Test it using this command on Linux (assuming you user "fwadmin" to manage the firewall):
ssh -l fwadmin firewall
If you use the root account to manage the firewall, the command becomes
ssh -l root firewall
can connect to the firewall with ssh using command
ssh root@192.168.*.*
does directory /etc/fwbuilder exist on the firewall ?
Может надо править /etc/openssh/sshd_config
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
/etc/openssh/sshd_config - такого у нас нет. Есть /etc/ssh/ssh_config. А что там править, я не знаю. Всё закомментировано.*d0s писал(а):И это тоже?и демон активен, проверяли?The built-in policy installer will not work if ssh access to the firewall is not working. Test it using this command on Linux (assuming you user "fwadmin" to manage the firewall):
ssh -l fwadmin firewall
If you use the root account to manage the firewall, the command becomes
ssh -l root firewall
can connect to the firewall with ssh using command
ssh root@192.168.*.*
does directory /etc/fwbuilder exist on the firewall ?
Может надо править /etc/openssh/sshd_config
На предлагаемые выше команды, ответ:
aleksandr-070255-desktop aleksandr-070255 # ssh -l fwadmin firewall
ssh: Could not resolve hostname firewall: Name or service not known
aleksandr-070255-desktop aleksandr-070255 # ssh -l root firewall
ssh: Could not resolve hostname firewall: Name or service not known
aleksandr-070255-desktop aleksandr-070255 # ssh root@192.168.1.1
ssh: connect to host 192.168.1.1 port 22: Connection timed out
aleksandr-070255-desktop aleksandr-070255 #
В общем, ерунда какая-то. Из того, что в сети нашёл на басурманском, понял, что ssh установлен вроде как не тот. И предлагают соединятся по ftp. Круг замкнулся.
Re: Настройка iptables в графической оболочке fwbuilder.
Что значит не тот? SSH-server нужен что ли?aleksandr-070255 писал(а):Из того, что в сети нашёл на басурманском, понял, что ssh установлен вроде как не тот.
У Вас что-то блокирует подключение по ssh. Надо смотреть что мешает
Код: Выделить всё
# netstat -nlp | grep 22
# ps -aux | grep 22
Код: Выделить всё
Port 22
ListenAddress 192.168.1.1
PermitRootLogin no
AllowUsers <кому позволено>
Код: Выделить всё
# iptables -L -n -v
Если не ошибаюсь, то ssh создает логи в /var/log/auth
Re: Настройка iptables в графической оболочке fwbuilder.
Неуверен, может надо прописать в /etc/hosts.allow типа
Код: Выделить всё
sshd:all
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
aleksandr-070255-desktop aleksandr-070255 # netstat -nlp | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4065/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 5922/cupsd
tcp6 0 0 :::22 :::* LISTEN 4065/sshd
tcp6 0 0 :::631 :::* LISTEN 5922/cupsd
unix 2 [ ACC ] STREAM LISTENING 32205 5897/pulseaudio /tmp/.esd-500/socket
unix 2 [ ACC ] STREAM LISTENING 32208 5897/pulseaudio /run/user/500/pulse/native
А по запросу # ps -aux | grep 22 выдало целую таблицу. Я в этом не разбираюсь.
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4065/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 5922/cupsd
tcp6 0 0 :::22 :::* LISTEN 4065/sshd
tcp6 0 0 :::631 :::* LISTEN 5922/cupsd
unix 2 [ ACC ] STREAM LISTENING 32205 5897/pulseaudio /tmp/.esd-500/socket
unix 2 [ ACC ] STREAM LISTENING 32208 5897/pulseaudio /run/user/500/pulse/native
А по запросу # ps -aux | grep 22 выдало целую таблицу. Я в этом не разбираюсь.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Не то отправил. Извините.
Последний раз редактировалось aleksandr-070255 31 дек 2016, 06:52, всего редактировалось 1 раз.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
aleksandr-070255-desktop aleksandr-070255 # iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Re: Настройка iptables в графической оболочке fwbuilder.
Уберите # перед Port 22aleksandr-070255 писал(а): ssh_config
# Port 22
И что здесь открыть?
Re: Настройка iptables в графической оболочке fwbuilder.
Извините, не в том конфиге. Нужно править в sshd_config.*d0s писал(а): ssh_config
# Port 22
Уберите # перед Port 22
Re: Настройка iptables в графической оболочке fwbuilder.
Непонятно почему не running
Код: Выделить всё
$ systemctl -l | egrep -i "iptables|shorewall"
iptables.service loaded active exited iptables Firewall for IPv4
shorewall.service loaded active exited Shorewall IPv4 firewall
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Я что-то Вас не пойму. Причём здесь shorewall!? Я его удалил и занимаюсь с fwbuilder.*d0s писал(а):Непонятно почему не runningКод: Выделить всё
$ systemctl -l | egrep -i "iptablesshorewall|" iptables.service loaded active exited iptables Firewall for IPv4 shorewall.service loaded active exited Shorewall IPv4 firewall
Вы попробуйте воспроизвести проблему на своей ОС. Тогда и сразу всё станет понятным. Во всяком случае для Вас.
Спасибо.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Вопрос как его открыть и как править?*d0s писал(а):Извините, не в том конфиге. Нужно править в sshd_config.*d0s писал(а): ssh_config
# Port 22
Уберите # перед Port 22
Re: Настройка iptables в графической оболочке fwbuilder.
Что значит как? Он не открывается или не знаете чем открыть или что? Поясните в чем проблема!aleksandr-070255 писал(а): Вопрос как его открыть и как править?
Это вроде как текстовой файл. Можно открыть/править с помощью mcedit, vim или каким-нибудь текстовым редактором и конечно же через su или sudo.
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
*d0s писал(а):Что значит как? Он не открывается или не знаете чем открыть или что? Поясните в чем проблема!aleksandr-070255 писал(а): Вопрос как его открыть и как править?
Это вроде как текстовой файл. Можно открыть/править с помощью mcedit, vim или каким-нибудь текстовым редактором и конечно же через su или sudo.
Код: Выделить всё
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# The default requires explicit activation of protocol 1
#Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Ciphers and keying
#RekeyLimit default none
# Logging
#SyslogFacility AUTH
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation sandbox
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none
# no default banner path
#Banner none
# override default of no subsystems
Subsystem sftp /usr/lib64/ssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Открыл следующие строки:
Результат нулевой. Посмотрел в службах, - sshd остановлен и запустить не получается.
Код: Выделить всё
Port 22
AddressFamily any
ListenAddress 192.168.42.129
ListenAddress 192.168.1.1
-
- Сообщения: 69
- Зарегистрирован: 07 ноя 2016, 06:28
Re: Настройка iptables в графической оболочке fwbuilder.
Прекращаю заниматься ерундой, удаляю эту недопрограмму, восстанавливаю шаревол, ставлю самую верхнюю галку и успокаиваю себя мыслью, что для "российских" хакеров и система сетевой защиты США не работает!
Поздравляю всех с наступающим Новым годом и желаю, чтоб таких программ, как "fwbuilder" было поменьше, а ОС Роса становилась лучше и краше!
С праздником!
Поздравляю всех с наступающим Новым годом и желаю, чтоб таких программ, как "fwbuilder" было поменьше, а ОС Роса становилась лучше и краше!
С праздником!