iptables - tak to ma działać?

[koper97]

Witam,
częściowo skonfigurowałem sobie firewalla, tylko nie wiem czy tak to powinno działać
po kolei:

Kod: Zaznacz cały

#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
 
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
 
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
 
#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT
 
#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
 
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

#chromecast:
iptables -I INPUT -p udp -m udp --dport 32768:61000 -j ACCEPT

problem w tym że po dodaniu reguł:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

zauważyłem że qbittorrent zaczyna pobierać / wysyłać pliki.....
myślałęm że będę musiał dodać wyjątek do iptables....
powinno tak być?

a tu wynik polecenia iptable -L

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpts:32768:61000
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[Yampress]

A mój firewall wygląda tak viewtopic.php?f=28&t=33751
A twój co w ogóle ma robić? Jest na serwer? router? czy desktop?

[koper97]

desktop, GNU/Linux 8 (jessie) 64-bitowy, stable

[dedito]

desktop, GNU/Linux 8 (jessie) 64-bitowy, stable

W takim razie poniższe regułki są zbędne:

Kod: Zaznacz cały

iptables -A FORWARD -o lo -j ACCEPT
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

a tu wynik polecenia iptable -L

Pokaż z parametrami -vL.

[Yampress]

Regół zbędnych w tym firewallu jego jest więcej.
Na samym początku dwie do czyszczenia natu
potem forward na lo
potem jeszcze ze 2


ten firewall to przeklejka z firewalla, który ktoś stworzył, bez pojecia co do czego służy. I czy jest potrzebne czy nie. Tak mimo posiadania firewalla, tworzy się luki w sustemie przez dziurawa reguły
Najlepiej wywalić to wszystko i rozpocząć z pustym plikiem.
Zacząć od:
ustawić polityki
ustawić blokady
potem ustwiać co ma być dotępne
dodać regułę na lo

[koper97]

Yampress - masz rację wzorowałem się na tutorialu znalezionym w necie.... mój błąd
używam Debiana od kilku miesięcy - staram się sam sobie radzić i nie zaśmiecać forum.
Wrzucam poprawioną wersję, czy moglibyście proszę ją sprawdzić ewentualnie poprawić?

Kod: Zaznacz cały

#czyści istniejące reguły
iptables -F

#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
 
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
 
#Akceptacja ruchu wychodzącego
iptables -P OUTPUT ACCEPT

#Akceptacja ruchu na loopback
iptables -A INPUT -i lo -j ACCEPT

#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#chromecast:
iptables -I INPUT -p udp -m udp --dport 32768:61000 -j ACCEPT

wynik polecenia iptables -L

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpts:32768:61000
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Kod: Zaznacz cały

Chain INPUT (policy DROP 548 packets, 198K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  114 61171 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpts:32768:61000
    2   328 ACCEPT     all  --  lo     any     anywhere             anywhere            
 5650  567K ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 9675 packets, 7876K bytes)
 pkts bytes target     prot opt in     out     source               destination       

nawet po poprawkach i włączeniu qbittorrent, zaczyna prawie natychmiast wysyłać / pobierać pliki

[dedito]

nawet po poprawkach i włączeniu qbittorrent, zaczyna prawie natychmiast wysyłać / pobierać pliki

W końcu na to zezwoliłeś więc prawidłowo to działa.

[koper97]

ok, dzięki za wyrozumiałość i cierpliwość.
Dzięki za odpowiedzi - w końcu jeśli chodzi o bezpieczeństwo systemu to nie ma żartów...
teraz przynajmniej wiem że mam prawidłowo skonfigurowanego firewalla.

[Yampress]

na desktop wklej moj firewall i będzie wszystko oki.
gdybyś chciał na serwer albo router to już trzeba coś bardziej "wyczesanego" tworzyć

[koper97]

Wkleiłem Twojego firewalla, tylko musiałem dodać jedną regułę, bo inaczej nie widziało mi chromecasta w sieci,
jeszcze raz dzięki,