iptables - w lancuchu OUTPUT wylacznie ruch IN.

[Matrixx]

Witam powtornie bo nie radze sobie z konfigiem iptables.
Na desktopie z Debianem Jessie zamierzam skonfigurowac iptables zeby:
- Polityka Domyslna = 3 x DROP
- Na wejsciu wpuszczamy tylko polaczenia nawiazane
- Na wyjsciu blokujemy wszystkie wychodzace a pozwalamy wylacznie na polaczenia nawiazane z zewnatrz.
Stworzylem prosty zestaw regol:

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT

Niestety odcina mnie od Internetu, dlaczego?Brak regol DNS?Jak powinny one wygladac?

[dedito]

Jak się ma nawiązać połączenie skoro tego zabroniłeś?
Musisz zezwolić na jakiś ruch z zewnątrz aby można było nawiązać połączenie.

[Matrixx]

Ale w regole wyjsciowej dalem wyjatek dla ruchu ustanowionego:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Ta regola powinna dzialac w obie strony.

[dedito]

A gdzie zezwalasz na ustanowienie połączenia ?
Zanim połączenie będzie ustanowione musi przejść etap nawiązania.

[Matrixx]

W lancuchu INPUT metoda dziala bez koniecznosci przepuszczania pakietow z ustawiona flaga SYN.

[dedito]

W lancuchu INPUT metoda dziala bez koniecznosci przepuszczania pakietow z ustawiona flaga SYN.

Nie bardzo rozumiem co masz na myśli.
Wg mnie powinieneś dodać w INPUT jakąś regułę dla połączeń NEW.

[Matrixx]

Lancuch INPUT dziala bezblednie.
Problem jest jedynie z konfiguracja lancucha OUTPUT tak zeby z kompa wychodzilo konieczne minimum DNS?
Natomiast nie ma zadnych ograniczen dla ruchu wejsciowego.
Pare lat temu takie regolki rozwiazywaly sprawe:

Kod: Zaznacz cały

iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -j REJECT

Ale ja chcialem to zrobic z modulem conntracka.

[dedito]

Teraz przeczytałem, że chodzi o desktop.
Rozumiem, że to będzie taki desktop do którego będzie się można połączyć tylko z zewnątrz, a ktokolwiek bo siadł do tego desktopa fizycznie to i tak nie połączy się z zewnętrznym światem?
Szczerze mówiąc to nie wiem jak ci to wcześniej działało na tych regułkach, jeśli nic wcześniej nie było w INPUT aby zezwolić na nawiązanie połączenia.

[Matrixx]

Do tej pory dzialalo swietnie. W ramach wyjasnienia, zamierzam zablokowac caly traffic wywolany przez malware, rogue software i temu podobnych "pasazerow"
Dziwi mnie tylko ze w takiej konfiguracji

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

W dalszym ciagu jestem zablokowany i nie dziala regola wypuszczajaca ruch ustanowiony na wyjsciu.
Chce wszystkim "pasazerom" zamknac drzwi do wyjscia na swiat (kolokwialnie)

[dedito]

Teraz chyba rozumiem, ale niestety nie wiem jak ci pomóc.
Moja wiedza nie ogarnia tego tematu.