Linux за българи: Форуми

Пак пиша с проблем:
Имам следния firewall script:

#basic defs(deny all)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#basic defs(flush all)
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat

#forward all IN -> OUT
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 0/0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -j ACCEPT

#allowed connections (ports)

iptables -A INPUT -p tcp -i eth1 --dport 25 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 106 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 110 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 465 --syn -j ACCEPT
#iptables -A INPUT -p tcp -i eth1 --dport 783 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 993 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 995 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 1023 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 8080 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 443 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 22 --syn -j ACCEPT

А NMAP-а ми показва:
root@slack1:~# nmap 83.228.56.113

Starting Nmap 4.60 ( http://nmap.org ) at 2009-02-17 15:54 EET
Interesting ports on 113-56-228-83.btc-net.bg (83.228.56.113):
Not shown: 1702 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
53/tcp   open   domain
80/tcp   open   http
106/tcp  open   pop3pw
110/tcp  open   pop3
443/tcp  closed https
465/tcp  closed smtps
995/tcp  closed pop3s
1023/tcp closed netvenuechat
5800/tcp open   vnc-http
5900/tcp open   vnc
8080/tcp open   http-proxy

Nmap done: 1 IP address (1 host up) scanned in 69.725 seconds

Като променя INPUT на ACCEPT:
root@slack1:~# nmap 83.228.56.113

Starting Nmap 4.60 ( http://nmap.org ) at 2009-02-17 15:50 EET
Interesting ports on 113-56-228-83.btc-net.bg (83.228.56.113):
Not shown: 1675 closed ports, 26 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
37/tcp   open  time
53/tcp   open  domain
80/tcp   open  http
106/tcp  open  pop3pw
110/tcp  open  pop3
113/tcp  open  auth
143/tcp  open  imap
993/tcp  open  imaps
5800/tcp open  vnc-http
5900/tcp open  vnc
8009/tcp open  ajp13
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 54.956 seconds

....

Някой може ли да ми каже как подяволите се получава тоя номер? Верно е, че съм n00b ама в това няма логика!

Кое ти изглежда нередно?
Като смениш default policy на ALLOW "изплуват" още портове, които не са изрично споменати като ALLOW в iptables, но имаш приложения които слушат на тях.

Имам предвид тези портове които изрично са опоменати в iptables, но при nmap скенирането са closed. А има какво да слуша на тях (pop3s, smtps, https)

Пускаш само SYN пакетите към сървера.
Трябва да имаш и правило:

GeSHi (Bash):
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Преди всички правила в INPUT добави и правило:

GeSHi (Bash):
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Пускаш само SYN пакетите към сървера.
Трябва да имаш и правило:

Код

GeSHi (Bash):
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Това го имам. Просто не сметнах за нужно да го копирам!

Преди всички правила в INPUT добави и правило:

Код

GeSHi (Bash):
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

А това не помогна. Ситуацията си остава същата - pop3s, smpts и https са closed.

Къде се намира машината от която пускаш nmap? Т.е. има ли вероятност някой по трасето да реже портове?

БТК в двата края, с пълно пренасочване на портовете към съответните машини. Бизнес пакетите със статично реално ip. Идеята е, че това се получава само при default INPUT DROP и то за специфични портове - както се вижда SMTP, POP3, IMAP, IMAPS, UltraVNC, UltraVNC Java и apache работят.