Автор Тема: Проблем с iptables  (Прочетена 2064 пъти)

DarkLordTed

  • Напреднали
  • *****
  • Публикации: 29
    • Профил
Проблем с iptables
« -: Feb 21, 2012, 02:07 »
Това ми е конфигурацията на iptables в общи линии:

iptables -L -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot opt  in      out      source               destination
ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED
 DROP       all   --  any    any      anywhere           anywhere


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot  opt  in     out     source               destination
ACCEPT     tcp    --  any    lo      localhost             localhost           state NEW tcp dpt:www
ACCEPT     all    --  any    any    anywhere            anywhere            state ESTABLISHED
DROP         all   --  any    any     anywhere           anywhere

Защо след като в Chain INPUT имам:

ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED

GET 127.0.0.1/file.php не минава.

И защо като му задам да речем:

iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo

GET 127.0.0.1/file.php пак не минава.

Но ако му задам да няма проверка на кой порт се връзва минава?
Ударете едно рамо, че почна да ми писва!
Благодаря ви предварително!
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Проблем с iptables
« Отговор #1 -: Feb 21, 2012, 08:47 »
Много лошо обяснена ситуация. Кое, откъде, как, защо, какво да минава ? Нищо не си казал като хората. Колега, вземи и покажи топологията на мрежата, какви машини има, кое и как искаш да достъпваш и т.н. И за какво ти е lo, луупбеците не ти трябват според мен. Ама обясни го хубаво де, да е разбираемо. И колегите веднага ще помагат. Успехи.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: Проблем с iptables
« Отговор #2 -: Feb 21, 2012, 12:39 »
Защо бе, хубаво го е обяснил. Само че трябва да пробва с:
Код:
GET http://127.0.0.1/file.php
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

Astor

  • Напреднали
  • *****
  • Публикации: 332
    • Профил
Re: Проблем с iptables
« Отговор #3 -: Feb 21, 2012, 12:41 »
Здравей,

какво ти изкарва: iptables -t nat -S и iptables -S?

За да видиш дали някакви пакети се хващат от даденото правило пробвай с:
iptables -S -v и гледай дали се увеличават counter-ите.

За дебъг на iptables най-лесно: махаш всички правила и слагаш едно поедно това което искаш и виждаш кога спира трафика.
Активен

Няма начин, да няма начин!

DarkLordTed

  • Напреднали
  • *****
  • Публикации: 29
    • Профил
Re: Проблем с iptables
« Отговор #4 -: Feb 21, 2012, 15:09 »
Значи пробвано е с:

GET 127.0.0.1/file.php
GET http://127.0.0.1/file.php
GET 127.0.0.1:80/file.php
GET http://127.0.0.1/file.php

и как ли още не - не ше и това си е. Като пусках правилата по отделно и стигнах до това заключение - изходящият не е проблем. Проблема е във входящият. Ако му се махне DROP-а ясно всичко минава. С counter-ите вече съм пробвал, но не се ориентирам - явно защото има и друг трафик. Странното, е че като му задам:
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo
не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp. GET http://127.0.0.1/ би трябвало да е tcp и е от 127.0.0.1 ама не иска. И още по-странното, е че ако му махна изискването за destination port 80 минава няма проблем. Демек с iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT -i lo няма проблем. Аааа и още нещо защо първото ми правило в INPUT chain-а не хваща този трафик като е any any anywhere anywhere та трябва да му задавам второ за 127.0.0.1 127.0.0.1 -i lo?
Активен

DarkLordTed

  • Напреднали
  • *****
  • Публикации: 29
    • Профил
Re: Проблем с iptables
« Отговор #5 -: Feb 21, 2012, 15:20 »
Сетих се още нещо важно - в същото време ако не се обръщам локално си работи идеално.
Активен

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: Проблем с iptables
« Отговор #6 -: Feb 21, 2012, 20:57 »
Странното, е че като му задам:
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo
не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp.

Странно но факт, ако зададеш --sport  или --dport не работи.
Цитат
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp  -j ACCEPT -i lo
Така трябва да работи.
Защо искаш да конкретизираш толкова подробно заявките то localhost? Няма смисъл.
« Последна редакция: Feb 21, 2012, 21:09 от mystical »
Активен

Ако не можеш да градиш, поне не руши!

DarkLordTed

  • Напреднали
  • *****
  • Публикации: 29
    • Профил
Re: Проблем с iptables
« Отговор #7 -: Feb 21, 2012, 23:11 »
Заради MySQL-а ми и той е на същият сървър, и обръщенията към него са на 127.0.0.1 иска ми се да са разделени със сигурност.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 3739 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 3558 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 4142 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 4245 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 3286 Последна публикация May 03, 2003, 17:00
от