Титла: Iptables
Публикувано от: Exterminator в Nov 27, 2006, 16:55
ок. Не ми се беше налагало да използван iptables до сега ...
Но ми се наложи и след дълго четене стигнах до следниа извод:
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP icmp -- anywhere anywhere icmp echo-request
DROP icmp -- anywhere anywhere icmp type 30
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- localnet/24 anywhere
ACCEPT all -- *.*.*.* anywhere
ACCEPT all -- *.*.*.* anywhere
ACCEPT all -- *.*.*.* anywhere
DROP tcp -- anywhere localhost tcp dpts:0:ftp-data
DROP tcp -- anywhere localhost tcp dpts:26:finger
DROP tcp -- anywhere localhost tcp dpts:hosts2-ns:65535
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere localnet/24
ACCEPT all -- anywhere *.*.*.*
ACCEPT all -- anywhere *.*.*.*
ACCEPT all -- anywhere *.*.*.*
ACCEPT tcp -- anywhere anywhere tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpts:0:ftp-data
DROP tcp -- anywhere anywhere tcp dpts:26:finger
DROP tcp -- anywhere anywhere tcp dpts:hosts2-ns:65535
Проблема ми е че с тези настройки само 3-те ИП-адресса и локалната мрейа виждат 80-ти порт.
Първоначално не бях добавил редовете за позволяване на 80-ти порт. Но си мислех че като не съм ги забранил няма да има проблеми. След което ги добавих ( да дори в FORWARD ) с надеждата да стане ( нали деф-полицата им е ACCEPT ).
Мислех че с iptaблес -A INPUT/OUTPUT/FORWARD -p tcp --destination-port 80 -j ACCEPT всичко ще се оправи .. да ама не :?
Не мога да схвана ...
ЕДИТ: омфг сорри че тук съм постнал. Чак след като постнах разбрах че е на грешното място
Но ми се наложи и след дълго четене стигнах до следниа извод:
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP icmp -- anywhere anywhere icmp echo-request
DROP icmp -- anywhere anywhere icmp type 30
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- localnet/24 anywhere
ACCEPT all -- *.*.*.* anywhere
ACCEPT all -- *.*.*.* anywhere
ACCEPT all -- *.*.*.* anywhere
DROP tcp -- anywhere localhost tcp dpts:0:ftp-data
DROP tcp -- anywhere localhost tcp dpts:26:finger
DROP tcp -- anywhere localhost tcp dpts:hosts2-ns:65535
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere localnet/24
ACCEPT all -- anywhere *.*.*.*
ACCEPT all -- anywhere *.*.*.*
ACCEPT all -- anywhere *.*.*.*
ACCEPT tcp -- anywhere anywhere tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpts:0:ftp-data
DROP tcp -- anywhere anywhere tcp dpts:26:finger
DROP tcp -- anywhere anywhere tcp dpts:hosts2-ns:65535
Проблема ми е че с тези настройки само 3-те ИП-адресса и локалната мрейа виждат 80-ти порт.
Първоначално не бях добавил редовете за позволяване на 80-ти порт. Но си мислех че като не съм ги забранил няма да има проблеми. След което ги добавих ( да дори в FORWARD ) с надеждата да стане ( нали деф-полицата им е ACCEPT ).
Мислех че с iptaблес -A INPUT/OUTPUT/FORWARD -p tcp --destination-port 80 -j ACCEPT всичко ще се оправи .. да ама не :?
Не мога да схвана ...
ЕДИТ: омфг сорри че тук съм постнал. Чак след като постнах разбрах че е на грешното място
Титла: Iptables
Публикувано от: VladSun в Nov 27, 2006, 17:37
Нищо не разбрах.
Какви са тия 3 ИП-та?
Най-вече - какво точно искаш да направиш?
Какви са тия 3 ИП-та?
Най-вече - какво точно искаш да направиш?
Титла: Iptables
Публикувано от: gat3way в Nov 27, 2006, 17:53
Само него ли?
Така като гледам очакваш source port-a с който установяват комуникация до машината на http порт-а да е или 80 или 20-26. Тъй като това се избира на почти случаен принцип и обикновено е порт над 1024, нормално е не само до 80 ами и до който друг отворен да не успеят да се свържат.
Оправи правилата в OUTPUT, махни тези правила:
DROP tcp -- anywhere anywhere tcp dpts:0:ftp-data
DROP tcp -- anywhere anywhere tcp dpts:26:finger
DROP tcp -- anywhere anywhere tcp dpts:hosts2-ns:65535
А и DROP не е много културна работа по принцип.
Така като гледам очакваш source port-a с който установяват комуникация до машината на http порт-а да е или 80 или 20-26. Тъй като това се избира на почти случаен принцип и обикновено е порт над 1024, нормално е не само до 80 ами и до който друг отворен да не успеят да се свържат.
Оправи правилата в OUTPUT, махни тези правила:
DROP tcp -- anywhere anywhere tcp dpts:0:ftp-data
DROP tcp -- anywhere anywhere tcp dpts:26:finger
DROP tcp -- anywhere anywhere tcp dpts:hosts2-ns:65535
А и DROP не е много културна работа по принцип.
Титла: Iptables
Публикувано от: Exterminator в Nov 27, 2006, 18:22
@VladSun 3-те ИП-та с *.*.*.* и локалната мрежа 192.168.*.0/24 са единствените който имат достъп до web-часта. Проблема е че искам всички да имат достап до него -)
@gat3way Направих го -) Колково до Drop ->
Искам да питам още нещо. За да имам възможност да оставя тези 3 реда там ... може ли да иползвам командата --syn или пак съм във някаква заблуда ? -))
@gat3way Направих го -) Колково до Drop ->
Искам да питам още нещо. За да имам възможност да оставя тези 3 реда там ... може ли да иползвам командата --syn или пак съм във някаква заблуда ? -))
Титла: Iptables
Публикувано от: gat3way в Nov 27, 2006, 21:33
Зависи какво искаш да се случи.
Каква по-точно е целта?
Каква по-точно е целта?
Титла: Iptables
Публикувано от: Exterminator в Nov 29, 2006, 10:04
@gat3way
Мерси много .. за сега няма да задълбочавам защото ми изникна по-важен проблем.
Все пак мерси много за помоща.
Мерси много .. за сега няма да задълбочавам защото ми изникна по-важен проблем.
Все пак мерси много за помоща.