firewall icq

[Milan Vobecký]

Dobry den,

nastavil jsem nasledujici firewallova pravidla na PII 350MHz se 128MB RAM Fedora C1. Stroj dela gateway a pres ni komunikuje cca 20 lidi.

Vsechny aplikace bezi nornalne, jen u ICQ se stava,  kdyz klient prestane  komunikovat na delsi dobu (cca30min-1h), 

tak se jakoby vymaze jeho TCP session a on se prepne do offline stavu (vsechny zpravy ktere posle zmyzi do nenavratna atd....) aniz by o tom tusil 

(on sam se vidi online, ale ostani a ho vidi offline) a musi se znova prilogovat na ICQ server.

Nesetkal jste se nekdo s necim podobnym?

Myslel jsem si, ze by to mohlo souviset s nastavenim ip_conntrack_max (man 8184), ale v logach jse nikde ip_conntrack table is full nenasel. 

ip_conntrack_tcp_timeout_established (mam 432000) je taky myslim dostatecna hodnota.

Milan Vobecky

# Zahazovat a logovat (max. 5 x 3 pakety za hod)

$IPTABLES -N logdrop

$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "

$IPTABLES -A logdrop -j DROP



# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu

$IPTABLES -N IN_FW

$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop 

$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop 

$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop

$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop 



# Retezec FORWARD

# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim

$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Nechceme rezervovane adresy na internetovem rozhrani

$IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW

# Routing zevnitr site ven neomezujeme

$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT

# Routing zvenku dovnitr pouze pro navazana spojeni

$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)

$IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward drop: "