Автор Тема: Iptables port restirect  (Прочетена 1724 пъти)

XsPiDeR

  • Напреднали
  • *****
  • Публикации: 42
  • Distribution: CentOS 6
  • Window Manager: GNOME
    • Профил
    • WWW
Iptables port restirect
« -: Jul 26, 2008, 01:24 »
Здравейте, искам да направа следното с iptables~
да забрана всички портове и да задам да отвори само тези които аз искам , бихте ли ми помогнали :?
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Iptables port restirect
« Отговор #1 -: Jul 26, 2008, 16:27 »
1. Слагаш политиката по подразбиране на INPUT веригата да е DROP;
2. В INPUT позволяваш всичко, което идва от lo интерфейса;
3. В INPUT позволяваш всичко, което е вече със state: established, related (с ACCEPT);
4. Разрешаваш определените портове (с -dport или multiport) за определните протоколи (-p [protocol]) и state: new пак с ACCEPT.

Това е.
За помощ: http://iptables-tutorial.frozentux.net/other/iptables.html



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

DefaultGateway

  • Напреднали
  • *****
  • Публикации: 14
    • Профил
Iptables port restirect
« Отговор #2 -: Aug 02, 2008, 16:33 »
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.0.10 -p tcp -m multiport --ports 20,21,22,139,445,8080 -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state NEW -j ACCEPT

Така ли? '<img'>

Кво прави това state NEW? също и state RELATED,ESTABLISHED ? '<img'>
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Iptables port restirect
« Отговор #3 -: Aug 02, 2008, 17:02 »
По-скоро трябва да бъде:
Примерен код
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.0.10 -p tcp -m multiport --ports 20,21,22,139,445,8080 -i eth1 -m state --state NEW -j ACCEPT


FORWARD веригата се използва само за трафик м/у интерфейси.

Не знам за какво си го сложил това ИП (192.168.0.10) - в момента си "отворил" портовете само за него. Това ли искаш?

Предполагам, че на eth1 имаш няколко IP-та и това ИП ти е еднот от тях - в такъв случай ти трябва "-d 192.168.0.10".

За state-овете: има си достатъчно обяснения в man page-a '<img'>

Накратко:
NEW - първи пакет (syn-пакета при TCP/IP)
ESTABLISHED - всеки следващ пакет от сесията след NEW пакета.
RELATED - прим. правиш FTP сесия към порт 21, което съответно води до отварянето на data port, различен от 21. ip_conntrack_ftp helper-а "чете" FTP командите от пакетите, вижда кои портове ще се използват и слага състояние RELATED на тези пакети. По подобен начин работят и други connection tracking модули.
Естествено, тези модули трябва да бъдат предварително заредени '<img'>



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Iptables port restirect
« Отговор #4 -: Aug 02, 2008, 17:21 »
Хубаво е да се сложат правила за отсяване на невалидните пакети:
Примерен код
iptables -P INPUT DROP
iptables -t mangle -A PREROUTING -i ! lo -s 127.0.0.0/8 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p icmp -d 0.0.0.255/0.0.0.255 -j DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.0.10 -p tcp -m multiport --ports 20,21,22,139,445,8080 -i eth1 -m state --state NEW -j ACCEPT




Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
iptables port FORWARD
Настройка на програми
tuxi 3 1726 Последна публикация Oct 09, 2004, 09:00
от tuxi
Iptables Port Redirect Problem!
Настройка на програми
daemon 2 1599 Последна публикация Jan 07, 2006, 04:23
от daemon
Iptables - port forwarding на netbios
Хардуерни и софтуерни проблеми
Unknown 5 3064 Последна публикация Jul 11, 2006, 00:34
от
Port forwarding с iptables
Настройка на програми
LORD__DEMON 5 3183 Последна публикация Jan 29, 2007, 21:26
от LORD__DEMON
Iptables port forwarding не сработва
Хардуерни и софтуерни проблеми
mihailmilev 18 5888 Последна публикация Jun 30, 2007, 22:30
от teh