Ahududu Pi + Owncloud + Iptables


1

Özel dosyalarımı bir bulutta (dropbox gibi) depolamak için kullandığım bir Ahududu Pi'm var

Bu öğreticiyi Pi'yi yapılandırmak için kullandım https://www.pestmeester.nl/

Ip tabloları öğreticiye göre yapılandırıldı:

*filter 
#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SMTP access
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT

# Allows pop and pops connections
# -A INPUT -p tcp --dport 110 -j ACCEPT
# -A INPUT -p tcp --dport 995 -j ACCEPT

# Allows imap and imaps connections
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT

#  Allow SSH connections
#  The -dport number should be the same port number you set in     sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Iptables -L, Chain INPUT (politika KABUL) hedefini koruyor kaynak hedefi fail2ban-ssh tcp'yi gösteriyor - her yerde herhangi bir yerde çok port sport'u ssh hepsini kabul ediyor - her yerde, her yerde her şeyi TEKRAR ETMEK - her yerde geridönüşüm / 8 reddediyor - icmp portu ile erişilemiyor ACCEPT hepsi - her yerde herhangi bir yerde devletle İLGİLİ, KURULAN KABUL tcp - her yerde her yerde tcp dpt: http KABUL tcp - her yerde her yerde tcp dpt: https KABUL tcp - her yerde her yerde tcp dpt: smtp KABUL tcp - her yerde her yerde tcp dpt: urd ACCE tcp - her yerde tcp dpt: urd ACCE tcp - her yerde her yerde tcp dpt:Gönderme ACCEPT tcp - her yerde her yerde tcp dpt: imap2 ACCEPT tcp - her yerde herhangi bir yerde tcp dpt: imaps ACCEPT tcp - her yerde her yerde devlet YENİ tcp dpt: ssh ACCEPT icmp - her yerde her yerde icmp echo-request GİRİŞ her yerde limit : avg 5 / dak 5 LOG hata ayıklama öneki "iptables reddedildi:" DROP tümü - her yerdessh KABUL icmp - her yerde her yerde icmp yankı isteği Tümü her yerde - her yerde sınır: avg 5 / dak 5 GÜNCELLEME Hata ayıklama öneki "iptables reddedildi:" Tüm DROP - her yerdessh KABUL icmp - her yerde her yerde icmp yankı isteği Tümü her yerde - her yerde sınır: avg 5 / dak 5 GÜNCELLEME Hata ayıklama öneki "iptables reddedildi:" Tüm DROP - her yerde

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

ve iptables-save

# Generated by iptables-save v1.4.21 on Fri Jun 30 12:43:24 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: "                     --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT

şimdi benim sorunum: syslog'da bunun gibi birçok girişim var: Jun 30 12:00:46 raspberrypi kernel: [6978137.058941] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:66:00:00:80:11:af:dc SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5734 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.864968] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8b:00:00:80:11:7f:06 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18315 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.865463] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:9b:00:00:80:11:e3:4d SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28571 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866330] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8c:00:00:80:11:7f:05 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18316 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866884] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:ae:00:00:80:11:e3:3a SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28590 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:46 raspberrypi kernel: [6978197.138692] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:6e:00:00:80:11:af:d4 SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5742 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:02:10 raspberrypi kernel: [6978220.883154] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8d:00:00:80:11:7f:04 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18317 PROTO=UDP SPT=17500 DPT=17500 LEN=391

Pi zaman zaman bağlantıyı kaybediyor ve bağlantıyı geri kazandıran tek şey servis amirinin yeniden başlatılması bu 2 sorunun birbirine bağlanmasına neden olabilir mi? IP tablolarını doğru şekilde yapılandırmak için ne yapabilirim? Bu kadar çok giriş içeren log ile owncloud'un sahip olduğu sorunu gerçekten tespit edemiyorum.

Gerçekten birinin bana yardım edebileceğini umuyorum

Yanıtlar:


1

Dropbox yayınlarını Raspi'nizde reddedebilirsiniz. 17500 bağlantı noktası, başka bir makinede Dropbox tarafından kullanılır.

Bu yüzden LOG kuralından önce ekleyin: -A INPUT -p udp --dport 17500 -j DROP

Ardından raspi bağlantıyı günlüğe kaydetmeden bırakacaktır.


ohhh çok teşekkür ederim! Dropbox'ı hiç düşünmezdim ... ama muhtemelen iki problem birbiriyle bağlantılı değildi. Belki zaman zaman ortaya çıkan bağlantı kaybını nasıl giderebileceğime dair bir fikriniz var mı? Tatil günlerinde yaşıyorum ve ofiste kendimde saklanan dosyalarıma erişmek zorunda kalmam gerçekten çok kötü
user9821

Hayır, üzgünüm, yeterince bilgi vermiyorsun. Pi bağlantısını kesince günlükleri kontrol etmelisin.
Dom

Tamam, bir dahaki sefere ofisimdeyken kayıtlara bakacağım. Sorun ofis PC'de beeing olmadan bağlantıyı yeniden başlatamadığım ve hizmet amirinin yeniden başlatılmasının bir cronjob içine koyamayacağı benim için yardımcı görünmüyor. Bir yöntemi biliyor musunuz, cronjob'ı kullanarak hizmeti yeniden başlatabilir miyim? Her 20 dakikada bir hizmeti yeniden
başlatmak

Bence senin probleminde daha önemli bir şey var. Beklemeniz ve günlükleri kontrol etmeniz gerekir. Belki hafıza yetersiz, belki başka bir şey, ama kayıt defterinde göreceksiniz. Hizmeti cron ile yeniden başlattığınızda hatalarınız var mı?
Dom
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.