Raspberry Pi + owncloud + Iptables

1

Tôi có một Raspberry Pi mà tôi đang sử dụng để lưu trữ các tệp riêng tư của mình trong một đám mây (như dropbox)

Tôi đã sử dụng toàn bộ hướng dẫn này để cấu hình Pi https://www.pestmeester.nl/

các bảng Ip được cấu hình theo hướng dẫn: 

*filter 
#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SMTP access
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT

# Allows pop and pops connections
# -A INPUT -p tcp --dport 110 -j ACCEPT
# -A INPUT -p tcp --dport 995 -j ACCEPT

# Allows imap and imaps connections
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT

#  Allow SSH connections
#  The -dport number should be the same port number you set in     sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Iptables -L chương trình     Chuỗi INPUT (CHẤP NHẬN chính sách)     đích đích chọn nguồn tham gia     fail2ban-ssh tcp - bất cứ nơi nào bất cứ nơi nào đa nhiệm dports ssh     CHẤP NHẬN tất cả - mọi nơi mọi nơi     DỰ ÁN tất cả - bất cứ nơi nào loopback / 8 từ chối-với icmp-port-không thể truy cập     CHẤP NHẬN tất cả - mọi nơi mọi nơi liên quan, THÀNH LẬP     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: http     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: https     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: smtp     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: urd     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: trình     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: imap2     CHẤP NHẬN tcp - mọi nơi mọi nơi tcp dpt: imaps     CHẤP NHẬN tcp - bất cứ nơi nào bất cứ nơi nào tiểu bang MỚI tcp dpt: ssh     CHẤP NHẬN icmp - bất cứ nơi nào bất cứ nơi nào icmp echo-request     ĐĂNG NHẬP tất cả - mọi nơi mọi nơi giới hạn: avg 5 / phút cụm 5 Tiền tố gỡ lỗi cấp độ LOG "iptables bị từ chối:"     DROP tất cả - mọi nơi mọi nơi 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

và iptables-lưu 

# Generated by iptables-save v1.4.21 on Fri Jun 30 12:43:24 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: "                     --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT

bây giờ với vấn đề của tôi: trong syslog tôi có rất nhiều mục như thế: Jun 30 12:00:46 raspberrypi kernel: [6978137.058941] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:66:00:00:80:11:af:dc SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5734 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.864968] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8b:00:00:80:11:7f:06 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18315 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.865463] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:9b:00:00:80:11:e3:4d SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28571 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866330] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8c:00:00:80:11:7f:05 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18316 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866884] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:ae:00:00:80:11:e3:3a SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28590 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:46 raspberrypi kernel: [6978197.138692] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:6e:00:00:80:11:af:d4 SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5742 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:02:10 raspberrypi kernel: [6978220.883154] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8d:00:00:80:11:7f:04 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18317 PROTO=UDP SPT=17500 DPT=17500 LEN=391

theo thời gian, pi mất kết nối và điều duy nhất khôi phục kết nối là khởi động lại giám sát dịch vụ 2 vấn đề đó có thể được kết nối với nhau? Tôi có thể làm gì để cấu hình các bảng ip chính xác? Với nhật ký với nhiều mục này, tôi thực sự không thể phát hiện ra vấn đề mà owncloud có.

Tôi thực sự hy vọng ai đó sẽ có thể giúp tôi

iptables  owncloud 
user9821
nguồn

Câu trả lời:

1

Bạn có thể từ chối các chương trình phát Dropbox trên Raspi của bạn. Cổng 17500 được Dropbox sử dụng trên một máy khác.

Vì vậy, thêm trước quy tắc LOG: -A INPUT -p udp --dport 17500 -j DROP

Sau đó, raspi sẽ bỏ kết nối mà không cần đăng nhập chúng.

Dom
nguồn
ohhh cảm ơn bạn rất nhiều Tôi sẽ không bao giờ nghĩ về dropbox ... nhưng có lẽ hai vấn đề không được kết nối. Bạn có thể có một ý tưởng làm thế nào tôi có thể khắc phục sự mất kết nối xuất hiện theo thời gian? Thật tồi tệ nếu tôi đang trong kỳ nghỉ và phải truy cập vào các tập tin của tôi được lưu trên owncloud trong văn phòng
user9821
Không, tôi xin lỗi, bạn không cung cấp đủ thông tin. Bạn phải kiểm tra nhật ký khi Pi mất kết nối.
Dom
Ok tôi sẽ xem xét nhật ký lần tới khi tôi ở văn phòng của tôi. Vấn đề là tôi không thể khởi động lại kết nối mà không bắt đầu với PC văn phòng và đặt người giám sát dịch vụ khởi động lại vào một cronjob dường như không có ích. Bạn có biết một cách, rằng tôi có thể khởi động lại dịch vụ bằng cách sử dụng cronjob không? Khởi động lại dịch vụ mỗi 20 phút không giúp ích gì khi mất kết nối, nhưng nhập lệnh theo cách thủ công thì không
user9821
Tôi nghĩ rằng có một cái gì đó quan trọng hơn ẩn trong vấn đề của bạn. Bạn cần chờ đợi và kiểm tra nhật ký. Có thể hết bộ nhớ, có thể một cái gì đó khác, nhưng bạn sẽ thấy trong nhật ký. Khi bạn khởi động lại dịch vụ bằng cron, bạn có lỗi không?
Dom
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.