iptables - "-m state "puszcza wszystko

paweldnb · Post autor: **paweldnb** » 15 lipca 2013, 12:36

Witam

Mam spory problem z konfiguracją serwera.

iptables wyglada tak:

:INPUT DROP [1:60]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7:900]
-A INPUT -i eth0.25 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
-A INPUT -s xxx.xx.xx.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 20:21 -j ACCEPT
#-A INPUT -s xxx.xx.xx.0/24 -p ICMP -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 9091 -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 5001:5010 -j ACCEPT
COMMIT

Gdy nie ma wpisu :

Kod: Zaznacz cały

-A INPUT -i eth0.250 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

system nie odpowiada na ICMP a gdy dodam odpowiada mimo zablokowania, ktoś ma pomysł jako to rozwiązać ?

Post autor: **LordRuthwen** » 15 lipca 2013, 13:19

A co się stanie jak usuniesz NEW?

paweldnb · Post autor: **paweldnb** » 15 lipca 2013, 13:40

LordRuthwen pisze:A co się stanie jak usuniesz NEW?

Nic się nie zmienia. Przerywam połączenie tzn ping i wznawiam i jest to samo . Sam już nie wiem może to wina architektury SPARC

bo np vsftpd w ogóle nie działa -a inny działa ...

oczywiście po zmianach iptables-apply

Post autor: **Yampress** » 15 lipca 2013, 18:40

dziura w firewallu.
No przecież ta linia wpuszcza wszystko

-A INPUT -i eth0.25 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

aby system odpowiadał na pingi musisz wpuścić ICMP na INPUT. I to konkretne typy zapytań
http://www.cyberciti.biz/tips/linux-ipt ... -ping.html

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

To możesz obudować w dodatkowe adresy kto co może itp

paweldnb · Post autor: **paweldnb** » 15 lipca 2013, 20:46

Yampress pisze:dziura w firewallu.
No przecież ta linia wpuszcza wszystko

wiem, wkleiłem bo już wszystkiego próbowałem. Czytałem guida z debian.pl no i poustawiałem jak należy i śmiga tyle ,że :
jak nie używam STATE'a to po zablokowaniu icmp natychmiast bez zwłoki icmp nie odpowiada. A jak jest zastosowany STATE to muszę na zdalnym hoście przerwać ping i dopiero wtedy już działa jak należy.

teraźniejszy konfig:

Kod: Zaznacz cały

*filter 
:INPUT DROP [50:15638] 
:FORWARD DROP [0:0] 
:OUTPUT ACCEPT [1299:158232] 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -s xxx.xxx.xxx/24 -p tcp -m tcp --dport 22 -m state --state  NEW -j ACCEPT 
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 20:21 -m state --state NEW -j  ACCEPT  
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 9091 -m state --state NEW -j  ACCEPT 
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 5001:5010  -m state --state NEW $ 
-A INPUT -s xxx.xxx.xxx/24 -p icmp -j ACCEPT
commit

co do icmp to przerobie tak jak mówisz bo server docelowy wystawiony na świat

Post autor: **Yampress** » 15 lipca 2013, 21:39

jak chcesz ping tylko to po co akceptujesz cały ICMP na INPUT?
https://www.iana.org/assignments/icmp-p ... ters.xhtml

--icmp-type 8

Na INPUT wpuszczasz 8 Echo Request (żądanie echa)
Na OUTPUT wypuszczasz Echo Reply (zwrot echa – "odpowiedź na ping")
Ale polityke OUTPUT masz na ACCEPT więc wypuszcza wszystko... i nie trzeba tego na OUTPUT ustawiać.

paweldnb · Post autor: **paweldnb** » 15 lipca 2013, 21:55

Yampress pisze:jak chcesz ping tylko to po co akceptujesz cały ICMP na INPUT?
https://www.iana.org/assignments/icmp-p ... ters.xhtml

Na INPUT wpuszczasz 8 Echo Request (żądanie echa)
Na OUTPUT wypuszczasz Echo Reply (zwrot echa – "odpowiedź na ping")
Ale polityke OUTPUT masz na ACCEPT więc wypuszcza wszystko... i nie trzeba tego na OUTPUT ustawiać.

spokojnie już poprawiłem tylko nurtuje mnie zachowanie które opisałem wcześniej . Chyba najprościej będzie napisać skryp restartujący vlan'a