Автор Тема: IP Tables  (Прочетена 3143 пъти)

Lucifer

  • Напреднали
  • *****
  • Публикации: 103
    • Профил
IP Tables
« -: Feb 17, 2009, 15:01 »
Пак пиша с проблем:
Имам следния firewall script:

#basic defs(deny all)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#basic defs(flush all)
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat

#forward all IN -> OUT
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 0/0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -j ACCEPT

#allowed connections (ports)

iptables -A INPUT -p tcp -i eth1 --dport 25 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 106 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 110 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 465 --syn -j ACCEPT
#iptables -A INPUT -p tcp -i eth1 --dport 783 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 993 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 995 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 1023 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 8080 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 443 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 22 --syn -j ACCEPT

А NMAP-а ми показва:
root@slack1:~# nmap 83.228.56.113

Starting Nmap 4.60 ( http://nmap.org ) at 2009-02-17 15:54 EET
Interesting ports on 113-56-228-83.btc-net.bg (83.228.56.113):
Not shown: 1702 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
53/tcp   open   domain
80/tcp   open   http
106/tcp  open   pop3pw
110/tcp  open   pop3
443/tcp  closed https
465/tcp  closed smtps
995/tcp  closed pop3s
1023/tcp closed netvenuechat
5800/tcp open   vnc-http
5900/tcp open   vnc
8080/tcp open   http-proxy

Nmap done: 1 IP address (1 host up) scanned in 69.725 seconds

Като променя INPUT на ACCEPT:
root@slack1:~# nmap 83.228.56.113

Starting Nmap 4.60 ( http://nmap.org ) at 2009-02-17 15:50 EET
Interesting ports on 113-56-228-83.btc-net.bg (83.228.56.113):
Not shown: 1675 closed ports, 26 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
37/tcp   open  time
53/tcp   open  domain
80/tcp   open  http
106/tcp  open  pop3pw
110/tcp  open  pop3
113/tcp  open  auth
143/tcp  open  imap
993/tcp  open  imaps
5800/tcp open  vnc-http
5900/tcp open  vnc
8009/tcp open  ajp13
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 54.956 seconds

....

Някой може ли да ми каже как подяволите се получава тоя номер? Верно е, че съм n00b ама в това няма логика!
Активен

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
Re: IP Tables
« Отговор #1 -: Feb 17, 2009, 16:31 »
Кое ти изглежда нередно?
Като смениш default policy на ALLOW "изплуват" още портове, които не са изрично споменати като ALLOW в iptables, но имаш приложения които слушат на тях.
Активен

Lucifer

  • Напреднали
  • *****
  • Публикации: 103
    • Профил
Re: IP Tables
« Отговор #2 -: Feb 17, 2009, 16:36 »
Имам предвид тези портове които изрично са опоменати в iptables, но при nmap скенирането са closed. А има какво да слуша на тях (pop3s, smtps, https)
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: IP Tables
« Отговор #3 -: Feb 17, 2009, 17:16 »
Пускаш само SYN пакетите към сървера.
Трябва да имаш и правило:
Код
GeSHi (Bash):
  1. iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: IP Tables
« Отговор #4 -: Feb 17, 2009, 17:20 »
Преди всички правила в INPUT добави и правило:
Код
GeSHi (Bash):
  1. iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Lucifer

  • Напреднали
  • *****
  • Публикации: 103
    • Профил
Re: IP Tables
« Отговор #5 -: Feb 17, 2009, 18:52 »
Пускаш само SYN пакетите към сървера.
Трябва да имаш и правило:
Код
GeSHi (Bash):
  1. iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Това го имам. Просто не сметнах за нужно да го копирам!

Преди всички правила в INPUT добави и правило:
Код
GeSHi (Bash):
  1. iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

А това не помогна. Ситуацията си остава същата - pop3s, smpts и https са closed.
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: IP Tables
« Отговор #6 -: Feb 17, 2009, 19:15 »
Къде се намира машината от която пускаш nmap? Т.е. има ли вероятност някой по трасето да реже портове?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Lucifer

  • Напреднали
  • *****
  • Публикации: 103
    • Профил
Re: IP Tables
« Отговор #7 -: Feb 17, 2009, 19:27 »
БТК в двата края, с пълно пренасочване на портовете към съответните машини. Бизнес пакетите със статично реално ip. Идеята е, че това се получава само при default INPUT DROP и то за специфични портове - както се вижда SMTP, POP3, IMAP, IMAPS, UltraVNC, UltraVNC Java и apache работят.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
HTB hashing tables
Настройка на програми
rers32e 3 2503 Последна публикация Mar 23, 2006, 11:25
от
Pf и state tables
Настройки на софтуер
never_mind 0 1842 Последна публикация Jan 31, 2007, 22:33
от never_mind
ip tables Mac adress filtering
Настройка на програми
thatsmeufo 13 4809 Последна публикация Dec 01, 2009, 16:27
от mkp
Настройки на IP Tables
Хардуерни и софтуерни проблеми
velchev 17 3951 Последна публикация Nov 22, 2011, 17:45
от velchev
ip tables въпрос
Настройка на програми
qvor16 9 3811 Последна публикация Jan 07, 2019, 13:35
от VladSun