Титла: Iptables проблем
Публикувано от: paranoid в Aug 23, 2007, 22:01
Здравейте,
искам да пусна файъруол, който да блокира всички входящи конекции към всички портове освен 80 и 443. Освен това искам изходящите да не се променят, т.е. от машината си да мога да достъпвам всички портове навън.
Пробвах с:
пробвах с
и пак не иска.
Ако някои може да ми обясни ще съм мъ благодарен.
искам да пусна файъруол, който да блокира всички входящи конекции към всички портове освен 80 и 443. Освен това искам изходящите да не се променят, т.е. от машината си да мога да достъпвам всички портове навън.
Пробвах с:
| Примерен код |
iptables -A INPUT -p tcp -i eth0 --dport 80 \ -m state --state NEW -j DROP iptables -A OUTPUT -p TCP -j ACCEPT |
пробвах с
| Примерен код |
iptables -A INPUT -p tcp -i eth0 --dport !80 \ -m state --state NEW -j DROP |
и пак не иска.
Ако някои може да ми обясни ще съм мъ благодарен.Титла: Iptables проблем
Публикувано от: the_real_maniac в Aug 23, 2007, 23:29
Значи дай ми точният изход от конзоалта си и се научии да пишеш -> питаш !
виж статията http://linux-bg.org/cgi-bin....6333931
и да ти кажа проблема ти е на една крачка разрешаване
--
и извинявай , че ще те ядосам , но си заслужава , вярваш или не
"и пак не иска"
Какво не иска ? (ето това щеше да те попита който си няма и бъкел от компютри , защот опросто ти отговорая на въпроса и толкоз , и е прав).
+ прочети за
iptables -P Опцията (указваща подразбираща се политика)
т.е трябва да действаш като:
следните две изречения
deny all
permit 80,443
виж статията http://linux-bg.org/cgi-bin....6333931
и да ти кажа проблема ти е на една крачка разрешаване
--
и извинявай , че ще те ядосам , но си заслужава , вярваш или не
"и пак не иска"
Какво не иска ? (ето това щеше да те попита който си няма и бъкел от компютри , защот опросто ти отговорая на въпроса и толкоз , и е прав).
+ прочети за
iptables -P Опцията (указваща подразбираща се политика)
т.е трябва да действаш като:
следните две изречения
deny all
permit 80,443
Титла: Iptables проблем
Публикувано от: NINJ4 в Aug 24, 2007, 00:35
аз бих го направил:
това отваря единствено 80,443 към теб. и разбира се трябва да имаш policy drop, защото иначе си губи смисъла да отваряш само посочените портове.
относно грешката, която правиш (то това е по важното да разбереш, че нататък да можеш да се оправяш и сам), с --state NEW, позволяваш само на syn пакета да влезе, оттам нататък блокираш всичко, като например ack пакета, който би трябвало отварящият връзката да изпрати и т.н, т.е позволяваш само на първия пакет от "тройното ръкостискане" (звучи ужасно на Български).
Успех
аз май малко се улях и не забелязах, че искаш всичко навън да е отворено. ами просто добави ESTABLISHED след NEW в твоите правила, дето си постнал.
аз лично никога не оставям нищо отворено, освен ако не трябва, а пък ако някой се инати с динамични портове си има други начини.
| Примерен код |
| iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 ! --syn -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 ! --syn -j ACCEPT |
това отваря единствено 80,443 към теб. и разбира се трябва да имаш policy drop, защото иначе си губи смисъла да отваряш само посочените портове.
относно грешката, която правиш (то това е по важното да разбереш, че нататък да можеш да се оправяш и сам), с --state NEW, позволяваш само на syn пакета да влезе, оттам нататък блокираш всичко, като например ack пакета, който би трябвало отварящият връзката да изпрати и т.н, т.е позволяваш само на първия пакет от "тройното ръкостискане" (звучи ужасно на Български
).Успех
аз май малко се улях и не забелязах, че искаш всичко навън да е отворено. ами просто добави ESTABLISHED след NEW в твоите правила, дето си постнал.
| Примерен код |
| --state NEW,ESTABLISHED |
аз лично никога не оставям нищо отворено, освен ако не трябва, а пък ако някой се инати с динамични портове си има други начини.
Титла: Iptables проблем
Публикувано от: VladSun в Aug 24, 2007, 00:39
А останалите протоколи?
Титла: Iptables проблем
Публикувано от: NINJ4 в Aug 24, 2007, 01:00
поправих се още преди да видя поста ти
ще споделя как аз действам в такива случаи, на някой може и да помогне. става въпрос за най-простия случай, само INPUT и OUTPUT.
1во: POLICY DROP и за двете вериги
2ро: следват всички правила с ACCEPT, каквото трябва
3то: по едно правило за I/O дето логва, наглася се с limit - така, че да не виждам по 100 еднакви пакета, log-level - така че в syslog.conf да си го препратя към отделен лог файл и log-prefix (INPUT: или OUTPUT:) - че по-лесно да намирам, кой го е блокирал.
Това разбира се, след като съм разрешил всичко каквото съм сметнал за необходимо и само да погледна в лога ако утре нещо "случайно" не работи.
ще споделя как аз действам в такива случаи, на някой може и да помогне. става въпрос за най-простия случай, само INPUT и OUTPUT.
1во: POLICY DROP и за двете вериги
2ро: следват всички правила с ACCEPT, каквото трябва
3то: по едно правило за I/O дето логва, наглася се с limit - така, че да не виждам по 100 еднакви пакета, log-level - така че в syslog.conf да си го препратя към отделен лог файл и log-prefix (INPUT: или OUTPUT:) - че по-лесно да намирам, кой го е блокирал.
Това разбира се, след като съм разрешил всичко каквото съм сметнал за необходимо и само да погледна в лога ако утре нещо "случайно" не работи.
Титла: Iptables проблем
Публикувано от: VladSun в Aug 24, 2007, 01:28
И аз ще споделя моята политика:
1. Няма значение какво ми е полисито
2. DROP-вам всички пакети, които не ми харесват
3. ACCEPT-вам всички пакети, които ми трябват
4. DROP-вам всичко
пример за пакетите по т. 2 - http://linux-bg.org/cgi-bin....advices
1. Няма значение какво ми е полисито
2. DROP-вам всички пакети, които не ми харесват
3. ACCEPT-вам всички пакети, които ми трябват
4. DROP-вам всичко
пример за пакетите по т. 2 - http://linux-bg.org/cgi-bin....advices