Изпечатай

[Zeroadhesion]

Здравейте! От днес вече не съм зад рутер и трябваше да си сложа iptables, за защитна стена.
Причината да искам да отворя порт 6881 е Deluge. Следвах тези стъпки, при конфигурирането на iptables, след малко ще постна и rules файла.
Та направих всичко, но портът не иска да се отвори. Рестартирах iptables сървиза, за да влязат новите настройки, след редактиране на файла, но не иска. Опитвам се да отвяра порта, чрез последните два реда. Та, какво изпускам, къде греша?

Код:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-N TCP
-N UDP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-rst
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A TCP -p tcp --dport 6881 -j ACCEPT
-A UDP -p udp --dport 6881 -j ACCEPT
COMMIT

[Bagatur]

Здравей. Ако съм рабрал правилно то ти трябва това:

Код:

iptables -A INPUT -i eth0 -p udp --sport 6881 -m state --state ESTABLISHED -j ACCEPT

Код:

iptables -A INPUT -i eth0 -p tcp --sport 6881 -m state --state ESTABLISHED -j ACCEPT

[Zeroadhesion]

Здрасти. Благодаря за отговора, но след изпълняване на двете команди успешно, портовете отново са затворени.

[Bagatur]

A опитвал ли си с друг порт. Дай резултат от  iptables -L след изпълняване на командите. Или опитаи да замениш порта с някой друг произволно избран от теб но те съветвам да е от рода 12030 например тоест 5 цифрен и дай резултат  от  iptables -L и за него.

[KPETEH]

Ами много ясно, че ще ги дропва просто трябва да разместиш 3 от правилата.

Код:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-N TCP
-N UDP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
[code=cpp]-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-rst
-A INPUT -j REJECT --reject-with icmp-proto-unreachable 

-A TCP -p tcp --dport 6881 -j ACCEPT
-A UDP -p udp --dport 6881 -j ACCEPT[/code]

Просто го смени така :

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-N TCP
-A TCP -j LOG
-A TCP -j ACCEPT
-N UDP
-A UDP -j LOG
-A UDP -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
-A INPUT -p tcp --dport 6881 -j TCP
-A INPUT -p udp --dport 6881 -j UDP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-rst
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
COMMIT

След това :
/etc/init.d/iptables restart

Какво е това федора ли е центос ли ?

[Acho]

Нали по тия RedHat-ските имаше едно SELINUX, дето понякога пречи на тия неща - файъролските. Ако знаеш как - спри го и тествай. Ако не знаеш, погледни във форума има такива теми. Поздрави.

[vox]

Незная в момента, но преди години redhat имаше функция когато напишеш в terminal-а - setup, да ти позволява да спираш вградения firewall.

[KPETEH]

Незная в момента, но преди години redhat имаше функция когато напишеш в terminal-а - setup, да ти позволява да спираш вградения firewall.

Няма смисъл да я спира просто правилата не бяха дефинирани, както трябва.

[Zeroadhesion]

Благодаря за отговорите, но за съжаление преди да ми отговорите се отказах и сложих ufw. Благодаря на KPETEH и Bagatur, че отделиха от времето си, но все още не е за мен това. Ще отделя време за IP tables в скоро време. Всъщност в това беше проблемът - пействах редове от един менюъл, а половината не ги знам за какво са. 100% с на Кретен обяснението щеше да стане - това са доста ценни редове BTW, но докато го видя, минах на ufw. Както и да е.

Махнал съм initscripts и sysvinit и съм си сложил systemd.

sudo systemctl start ufw - пускам firewall-a
sudo ufw default deny - по подразбиране забранявам всички входящи връзки
sudo ufw allow Deluge - освен за Deluge...

...и Deluge вече е с отворен порт 
Доста по-разбираемо е, пък и все пак съм домашен потребител. 

Иначе не знам защо решихте, че съм с Red Hat базирана дистрибуция - с Arch Linux съм, пише го в профила ми
Хубав ден на всички.

[KPETEH]

Благодаря за отговорите, но за съжаление преди да ми отговорите се отказах и сложих ufw. Благодаря на KPETEH и Bagatur, че отделиха от времето си, но все още не е за мен това. Ще отделя време за IP tables в скоро време. Всъщност в това беше проблемът - пействах редове от един менюъл, а половината не ги знам за какво са. 100% с на Кретен обяснението щеше да стане - това са доста ценни редове BTW, но докато го видя, минах на ufw. Както и да е.

Махнал съм initscripts и sysvinit и съм си сложил systemd.

sudo systemctl start ufw - пускам firewall-a
sudo ufw default deny - по подразбиране забранявам всички входящи връзки
sudo ufw allow Deluge - освен за Deluge...

...и Deluge вече е с отворен порт 
Доста по-разбираемо е, пък и все пак съм домашен потребител. 

Иначе не знам защо решихте, че съм с Red Hat базирана дистрибуция - с Arch Linux съм, пише го в профила ми
Хубав ден на всички.

Добре де извинявай, че се опитахме да ти помогнем при положение, че ти знаеше как да се оправиш !

[Zeroadhesion]

Не знам защо си го разбрал така, напротив дори съм ви много благодарен и съжалявам, че действах прекалено рано и сложих ufw и не можах да изпробвам решението ти. Но то ще се използва 100% Както казах - скоро ще разгледам iptables, ще използвам твоите редове за начална конфигурация и ще почета Нито едно от мненията на всички участници в темата не е било напразно, защото ще се използватот мен или от друг, просто за момента не можах да дочакам и намерих друго решение. В момента на писане на темата не знаех и за ufw - просто експериментирах Още веднъж - благодаря! Моля, не приемайте обяснението как съм се справил със ситуацията за нещо значително, насочено към вас или като самоизтъкване. Все пак това е форум и хората търсят и намират различни решения на проблемите си. Хубаво е да има от всичко по много.

[KPETEH]

Не знам защо си го разбрал така, напротив дори съм ви много благодарен и съжалявам, че действах прекалено рано и сложих ufw и не можах да изпробвам решението ти. Но то ще се използва 100% Както казах - скоро ще разгледам iptables, ще използвам твоите редове за начална конфигурация и ще почета Нито едно от мненията на всички участници в темата не е било напразно, защото ще се използватот мен или от друг, просто за момента не можах да дочакам и намерих друго решение. В момента на писане на темата не знаех и за ufw - просто експериментирах Още веднъж - благодаря! Моля, не приемайте обяснението как съм се справил със ситуацията за нещо значително, насочено към вас или като самоизтъкване. Все пак това е форум и хората търсят и намират различни решения на проблемите си. Хубаво е да има от всичко по много.

Добре идеята беше следната: да разбереш къде грешиш с твоя скрипт !
Ясно е че има готови решения, преди 12 години например нямаше такива и трябваше четене.
Почти 100% съм сигурен че докато си пускал написания от теб скрипт за защитна стена ти е вадил грешки.
Между другото ufw не е кой знае какво имайки предвид, че не прави кой знае какъв тунинг в kernel параметрите за ip stack.