|
Титла: [SOLVED]Отваряне на порт с iptables Публикувано от: Zeroadhesion в Sep 22, 2012, 00:06 Здравейте! От днес вече не съм зад рутер и трябваше да си сложа iptables, за защитна стена.
Причината да искам да отворя порт 6881 е Deluge. Следвах тези ($2) стъпки, при конфигурирането на iptables, след малко ще постна и rules файла. Та направих всичко, но портът не иска да се отвори. Рестартирах iptables сървиза, за да влязат новите настройки, след редактиране на файла, но не иска. Опитвам се да отвяра порта, чрез последните два реда. Та, какво изпускам, къде греша? Код: *filter Титла: Re: Отваряне на порт с iptables Публикувано от: Bagatur в Sep 22, 2012, 03:32 Здравей. Ако съм рабрал правилно то ти трябва това:
Код: iptables -A INPUT -i eth0 -p udp --sport 6881 -m state --state ESTABLISHED -j ACCEPT Код: iptables -A INPUT -i eth0 -p tcp --sport 6881 -m state --state ESTABLISHED -j ACCEPT Титла: Re: Отваряне на порт с iptables Публикувано от: Zeroadhesion в Sep 22, 2012, 03:38 Здрасти. Благодаря за отговора, но след изпълняване на двете команди успешно, портовете отново са затворени.
Титла: Re: Отваряне на порт с iptables Публикувано от: Bagatur в Sep 23, 2012, 00:54 A опитвал ли си с друг порт. Дай резултат от iptables -L след изпълняване на командите. Или опитаи да замениш порта с някой друг произволно избран от теб но те съветвам да е от рода 12030 например тоест 5 цифрен и дай резултат от iptables -L и за него.
Титла: Re: Отваряне на порт с iptables Публикувано от: KPETEH в Sep 23, 2012, 09:36 Ами много ясно, че ще ги дропва просто трябва да разместиш 3 от правилата.
Код: *filter -A UDP -p udp --dport 6881 -j ACCEPT[/code] Просто го смени така : *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -N TCP -A TCP -j LOG -A TCP -j ACCEPT -N UDP -A UDP -j LOG -A UDP -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p udp -m conntrack --ctstate NEW -j UDP -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP -A INPUT -p tcp --dport 6881 -j TCP -A INPUT -p udp --dport 6881 -j UDP -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -j REJECT --reject-with tcp-rst -A INPUT -j REJECT --reject-with icmp-proto-unreachable COMMIT След това : /etc/init.d/iptables restart Какво е това федора ли е центос ли ? Титла: Re: Отваряне на порт с iptables Публикувано от: Acho в Sep 23, 2012, 09:40 Нали по тия RedHat-ските имаше едно SELINUX, дето понякога пречи на тия неща - файъролските. Ако знаеш как - спри го и тествай. Ако не знаеш, погледни във форума има такива теми. Поздрави.
Титла: Re: Отваряне на порт с iptables Публикувано от: vox в Sep 23, 2012, 11:19 Незная в момента, но преди години redhat имаше функция когато напишеш в terminal-а - setup, да ти позволява да спираш вградения firewall.
Титла: Re: Отваряне на порт с iptables Публикувано от: KPETEH в Sep 23, 2012, 11:22 Незная в момента, но преди години redhat имаше функция когато напишеш в terminal-а - setup, да ти позволява да спираш вградения firewall. Няма смисъл да я спира просто правилата не бяха дефинирани, както трябва. Титла: Re: Отваряне на порт с iptables Публикувано от: Zeroadhesion в Sep 24, 2012, 04:34 Благодаря за отговорите, но за съжаление преди да ми отговорите се отказах и сложих ufw. Благодаря на KPETEH и Bagatur, че отделиха от времето си, но все още не е за мен това. Ще отделя време за IP tables в скоро време. Всъщност в това беше проблемът - пействах редове от един менюъл, а половината не ги знам за какво са. 100% с на Кретен обяснението щеше да стане - това са доста ценни редове BTW, но докато го видя, минах на ufw. Както и да е.
Махнал съм initscripts и sysvinit и съм си сложил systemd. sudo systemctl start ufw - пускам firewall-a sudo ufw default deny - по подразбиране забранявам всички входящи връзки sudo ufw allow Deluge - освен за Deluge... ...и Deluge вече е с отворен порт ;D Доста по-разбираемо е, пък и все пак съм домашен потребител. ;D ;D Иначе не знам защо решихте, че съм с Red Hat базирана дистрибуция - с Arch Linux съм, пише го в профила ми ;) Хубав ден на всички. Титла: Re: Отваряне на порт с iptables Публикувано от: KPETEH в Sep 25, 2012, 22:13 Благодаря за отговорите, но за съжаление преди да ми отговорите се отказах и сложих ufw. Благодаря на KPETEH и Bagatur, че отделиха от времето си, но все още не е за мен това. Ще отделя време за IP tables в скоро време. Всъщност в това беше проблемът - пействах редове от един менюъл, а половината не ги знам за какво са. 100% с на Кретен обяснението щеше да стане - това са доста ценни редове BTW, но докато го видя, минах на ufw. Както и да е. Добре де извинявай, че се опитахме да ти помогнем при положение, че ти знаеше как да се оправиш ! Титла: Re: [SOLVED]Отваряне на порт с iptables Публикувано от: Zeroadhesion в Sep 25, 2012, 23:25 Не знам защо си го разбрал така, напротив дори съм ви много благодарен и съжалявам, че действах прекалено рано и сложих ufw и не можах да изпробвам решението ти. Но то ще се използва 100% Както казах - скоро ще разгледам iptables, ще използвам твоите редове за начална конфигурация и ще почета ;) Нито едно от мненията на всички участници в темата не е било напразно, защото ще се използватот мен или от друг, просто за момента не можах да дочакам и намерих друго решение. В момента на писане на темата не знаех и за ufw - просто експериментирах :) Още веднъж - благодаря! Моля, не приемайте обяснението как съм се справил със ситуацията за нещо значително, насочено към вас или като самоизтъкване. Все пак това е форум и хората търсят и намират различни решения на проблемите си. Хубаво е да има от всичко по много.
Титла: Re: [SOLVED]Отваряне на порт с iptables Публикувано от: KPETEH в Sep 27, 2012, 20:02 Не знам защо си го разбрал така, напротив дори съм ви много благодарен и съжалявам, че действах прекалено рано и сложих ufw и не можах да изпробвам решението ти. Но то ще се използва 100% Както казах - скоро ще разгледам iptables, ще използвам твоите редове за начална конфигурация и ще почета ;) Нито едно от мненията на всички участници в темата не е било напразно, защото ще се използватот мен или от друг, просто за момента не можах да дочакам и намерих друго решение. В момента на писане на темата не знаех и за ufw - просто експериментирах :) Още веднъж - благодаря! Моля, не приемайте обяснението как съм се справил със ситуацията за нещо значително, насочено към вас или като самоизтъкване. Все пак това е форум и хората търсят и намират различни решения на проблемите си. Хубаво е да има от всичко по много. Добре идеята беше следната: да разбереш къде грешиш с твоя скрипт ! Ясно е че има готови решения, преди 12 години например нямаше такива и трябваше четене. Почти 100% съм сигурен че докато си пускал написания от теб скрипт за защитна стена ти е вадил грешки. Между другото ufw не е кой знае какво имайки предвид, че не прави кой знае какъв тунинг в kernel параметрите за ip stack. |