Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / iptables ala turris
- - Od TomD Dne 2014-03-27 09:15
Přeji hezký den,
mám dotaz ohledně iptables a jeho struktury.
Z několika pokusů o přidání pravidel do struktury iptables, mně to vždy, po nějaké aktualizaci systému do druhého dne, moje pravidlo vyhodí.
Začal jsem pokusem přidání do chainu zone_wan_output, druhý den pravidlo vypadlo, pak jsem si všimnul poznámky u chainu forwarding_wan_rule   /* user chain for forwarding */, ale další den zase pravidlo vypadlo.
Znějakého předešlého pokusu jsem si všimnul, že hlavní chain INPUT pravidla nemaže. Ale není to tak čisté z důvodu úprav konfigurace (změna/úprava wan portu v případě třeba přepnutí na záložní spojení), kdy předpokládám, že chain zone_wan_output a následná forwarding_wan_rule, bude vždy odkazovat na aktualní odchozí wan port.

Další dotaz je ohledně iptables a logování. Celkem se mi líbí myšlenka mít všechny informace z iptables na jednom místě. Můžu si teda do logu iptables posílat nějaké svoje alerty. (připadně jak je mám označit abych něco nenarušil)
Na starém serveru jsem mněl script, který mi provedl analýzu adres na základě whois a zobrazoval země i město odkud byl server hackován a kolikrát.

Mužu dostat nějaké info/manuál/doporučení jak iptables má a bude fungovat.

Děkuji.
Nadřazený - - Od Štěpán Henek Dne 2014-03-27 17:44
Dobrý den,

pokud přidáváte FW pravidla přes webové rozhraní nebo přes uci (viz. /etc/config/firewall), tak by měla přežít restart i updaty.
Openwrt má poměrně složitou strukturu iptables. (viz. http://wiki.openwrt.org/doc/uci/firewall)
Systém spočívá v tom, že naparsují /etc/config/firewall a na základě toho vytváří pravidla pro iptables.

Pozn. problém může nastat pokud přímo ubíráte nebo přidáváte zóny (wan, lan, ...).
FW pravidla nastavitelná z /etc/config/firewall se na ně vážou.

Mě se celkem osvědčilo použít skript /etc/firewall.user. Tam se dají FW pravidla psát přímo a navíc může obsahovat i nějakou logiku.

if [ -e "${FILE}" ]; then
iptables -A -i INPUT eth0 ...
fi


Logování FW pravidel do separátního souboru má na svědomí syslog-ng.
viz /etc/syslog-ng.d/nikola.conf
Pro nás je důležité, aby zalogovaná pravidla měla v prefixu "turris-XXXXXXXX:".
Pokud chcete přidávat vlastní alerty, tak by bylo dobré, aby neměly v prefixu slovo "turris".

Hezký den.
Nadřazený - - Od TomD Dne 2014-05-09 09:39
Dobrý den,

Mám pocit, že se něco změnilo po poslední velké aktualizaci, jelikož se přestal generovat soubor /var/log/iptables
V iptables konfiguraci, už není vidět pravidlo pro logovani (prefix "turris-XXXXXXXX:")

Ale co mně nejvíce zaráží, že mi v grafu na turris.cz "Data z vašeho routeru", se přestala zobrazovat data pro kategorii "Zachycené firewallové pakety". Zobrazí se jen hláška "Pro vybraný časový úsek nejsou dostupná žádná data."

Je to normální nebo je někde chyba ?

P.S. Moje pravidlo pro blokování pokusů o pripojeni pres ssh port mi loguje, ze pokusy existuji...
Nadřazený - - Od Štěpán Henek Dne 2014-05-12 12:58
Dobrý den,

spíš to vypadá na chybu.
Na turris.cz uvidíte pouze data, která prošla přes /var/log/iptables.

Pokud máte balík firewall ve verzi 2014-01-24 (opkg list-installed firewall) a v /etc/config/firewall
config zone
  option name 'wan'
  ...
  option log '1'
  option log_prefix 'turris-000000: '
  option log_limit '60/minute'
  option log_level 'debug'


tak přes iptables-save by mělo být vidět pravidlo:
-A zone_wan_src_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7

Packet je zapsán do logu kernelu, odkud si ho převezme syslog-ng a uloží jej do /var/log/iptables.
Takže je ještě nutné mít v provozu syslog-ng s konfiguračním souborem /etc/syslog-ng.d/nikola.conf
Nadřazený - - Od TomD Dne 2014-05-12 20:14
Tak jsem zjistil nejakou chybu "Incorrect signature for downloaded rules"  pri provadeni scriptu /usr/share/firewall/turris
v syslogu to hlasi neco takoveho....

2014-05-12T21:00:20+02:00 notice turris-firewall-rules[]: Incorrect signature for downloaded rules
2014-05-12T21:03:01+02:00 notice turris-firewall-rules[]: Incorrect signature for downloaded rules
2014-05-12T21:04:48+02:00 debug updater-consolidator[]: Consolidating
2014-05-12T21:04:48+02:00 err opkg[]: Notifier failed
2014-05-12T21:04:49+02:00 info opkg[]: Updater finished
2014-05-12T21:05:13+02:00 notice turris-firewall-rules[]: Incorrect signature for downloaded rules
Nadřazený - - Od Štěpán Henek Dne 2014-05-14 08:32
Někdy včera jsme provedli update balíku turris-firewall-rules na verzi 8.
Pořád to vypisuje Incorrect signature?

Pokud ne, tak by se vám ve fw mělo objevit víc pravidel typu:
-A turris -d 91.234.104.30/32 -o eth2 -m limit --limit 1/min -j LOG --log-prefix "turris-7E0510: " --log-level 7
(snažíme se logovat IP adresy, které se vyskytují v několika veřejných blocklistech)

Jinak pokud se vám tam nevyskytuje pravidlo
-A zone_wan_src_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7
tak neuvidíte pakety zahozené na WANu
Nadřazený - - Od TomD Dne 2014-05-14 15:22
Aktualizaci jsem si vsimnul jelikoz mi probehla pod rukama.:cool:
Kazdopadne po aktualizaci se prestala zobrazovat chyba Incorrect signature v syslogu a v iptab jsem zacal videt pravidla turris-7E*, ale po pravidlu turris-0* nebylo videt ani slyset i kdyz v /etc/config/firewall pravidlo je.

Tak jsem to zkusil klasicky z cista  opkg install --force-reinstal firewall
Vybublato to ocekavane Existing conffile /etc/config/firewall a pri srovnani pravidla pro turris-0* byl videt evidentni rozdil v konvenci.
Kadopadne po zmene pravidla za origos z opkg, se konecne pravidlo zacalo uplatnovat.....

Puvodni spatne pravidlo, ktere iptables neakceptovalo
config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option log_prefix 'turris-000000: '
        option log_level 'debug'
        option network 'MODEM wan wan6 wan4'
Nadřazený - Od Štěpán Henek Dne 2014-05-14 15:53
Aha, tím se to vysvětluje. Chybí tam řádek:
config zone
  option name 'wan'
  ...
  option log '1'
  ...
Nahoru Téma Majitelé routerů / Technická podpora / iptables ala turris

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill