Изпечатай

[paranoid]

Здравейте,
искам да пусна файъруол, който да блокира всички входящи конекции към всички портове освен 80 и 443. Освен това искам изходящите да не се променят, т.е. от машината си да мога да достъпвам всички портове навън.
Пробвах с:

Примерен код

iptables -A INPUT -p tcp -i eth0 --dport 80 \   -m state --state NEW -j DROP iptables -A OUTPUT -p TCP -j ACCEPT

пробвах с

Примерен код

iptables -A INPUT -p tcp -i eth0 --dport !80 \   -m state --state NEW -j DROP

и пак не иска.  '> Ако някои може да ми обясни ще съм мъ благодарен.

[the_real_maniac]

Значи дай ми точният изход от конзоалта си и се научии да пишеш -> питаш !

виж статията http://linux-bg.org/cgi-bin....6333931

и да ти кажа проблема ти е на една крачка разрешаване '> '>

--

и извинявай , че ще те ядосам , но си заслужава , вярваш или не

"и пак не иска"

Какво не иска ? (ето това щеше да те попита който си няма и бъкел от компютри , защот опросто ти отговорая на въпроса и толкоз , и е прав).

+ прочети за


iptables -P Опцията (указваща подразбираща се политика)

т.е трябва да действаш като:
следните две изречения '>

deny all
permit 80,443 '> '>

[NINJ4]

аз бих го направил:

Примерен код

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 ! --syn -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 ! --syn -j ACCEPT

това отваря единствено 80,443 към теб. и разбира се трябва да имаш policy drop, защото иначе си губи смисъла да отваряш само посочените портове.
относно грешката, която правиш (то това е по важното да разбереш, че нататък да можеш да се оправяш и сам), с --state NEW, позволяваш само на syn пакета да влезе, оттам нататък блокираш всичко, като например ack  пакета, който би трябвало отварящият връзката да изпрати и т.н, т.е позволяваш само на първия пакет от "тройното ръкостискане" (звучи ужасно на Български '>).

Успех

аз май малко се улях и не забелязах, че искаш всичко навън да е отворено. ами просто добави ESTABLISHED след NEW в твоите правила, дето си постнал.

Примерен код

--state NEW,ESTABLISHED

аз лично никога не оставям нищо отворено, освен ако не трябва, а пък ако някой се инати с динамични портове си има други начини.

[VladSun]

А останалите протоколи?

[NINJ4]

поправих се още преди да видя поста ти '>
ще споделя как аз действам в такива случаи, на някой може и да помогне. става въпрос за най-простия случай, само INPUT и OUTPUT.
1во: POLICY DROP и за двете вериги
2ро: следват всички правила с ACCEPT, каквото трябва
3то: по едно правило за I/O дето логва, наглася се с limit - така, че да не виждам по 100 еднакви пакета, log-level - така че в syslog.conf да си го препратя към отделен лог файл и log-prefix (INPUT: или OUTPUT:) - че по-лесно да намирам, кой го е блокирал.
Това разбира се, след като съм разрешил всичко каквото съм сметнал за необходимо и само да погледна в лога ако утре нещо "случайно" не работи.

[VladSun]

И аз ще споделя моята политика:
1. Няма значение какво ми е полисито '>
2. DROP-вам всички пакети, които не ми харесват
3. ACCEPT-вам всички пакети, които ми трябват
4. DROP-вам всичко '>

пример за пакетите по т. 2 - http://linux-bg.org/cgi-bin....advices