regoly iptables blokuja dostep do Internetu

Zagadnienia bezpieczeństwa w systemie
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

regoly iptables blokuja dostep do Internetu

Post autor: Matrixx »

Najpierw dane:

Kod: Zaznacz cały

uname -a
Linux debian2 5.10.0-18-amd64 #1 SMP Debian 5.10.140-1 (2022-09-02) x86_64 GNU/Linux

Kod: Zaznacz cały

dpkg -l | grep netfilter-persistent
ii  netfilter-persistent                  1.0.15                           all          boot-time loader for netfilter configuration

Kod: Zaznacz cały

mark@debian2:~$ update-alternatives --list iptables
/usr/sbin/iptables-legacy
/usr/sbin/iptables-nft
Po zaimplementowaniu tych regol:

Kod: Zaznacz cały

iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Załaduj moduły śledzące połączenia
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

conntrack -F

# Błędne pakiety – tablica mangle
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP 
iptables -t mangle -A PREROUTING -f -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited 

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable

# Drop everything else
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP
Blokuje dostep do Internetu.

Co zlego jest w tych regolach ? :mad:
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: regoly iptables blokuja dostep do Internetu

Post autor: dedito »

W regułce łańcucha output, brak akceptacji dla nowych połączeń:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Powinno być:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

Re: regoly iptables blokuja dostep do Internetu

Post autor: Matrixx »

Z pelna swiadomoscia dalem DROP na OUTPUT poniewaz:
- zgodnie z definicja polityka domysla jest na ostatniej pozycji w lancuchu, czyli pakiety polaczenia ESTABLISHED powinny moc " wydostac sie" poprzez poprzedzajaca regole ESTABLISHED.
- W Internecie sa przyklady dzialajacych skryptow z domyslna polityka 3xDROP.
- Sam uzywalem takiego skrypta.
Mysle, ze tutaj jest mala niescislosc:
W regułce łańcucha output, brak akceptacji dla nowych połączeń:
Moim zdaniem powinno byc "ustanowionych" polaczen.
Nowe polaczenia to bardziej na INPUT.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: regoly iptables blokuja dostep do Internetu

Post autor: dedito »

Zamiast teoretyzować, sprawdź na własnym firewallu.
Dawno nie bawiłem się regułkami iptables, poza tym to już historia, teraz trzeba się uczyć nftables.
Jak masz Debiana 10 lub nowszego to iptables i tak jest domyślnie konwertowane do nftables.
Różnie ta konwersja wychodzi, nie zawsze dobrze, co może mieś związek z tym twoim firewallem.
https://morfikov.github.io/post/migracj ... -debianie/
https://wiki.debian.org/nftables
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

Re: regoly iptables blokuja dostep do Internetu

Post autor: Matrixx »

Zamiast teoretyzować, sprawdź na własnym firewallu.
Wlasnie dlatego szukam entuzjasty iptables, bo warto.
- nftables nie jest dojrzale "produkcyjnie" Podobnie jak cgroups.v2.
- piszac, ze konwersja jest zawodna, masz absolutna racje.
- Iptables ma opcje "legacy" co pozwala dzialac na najnowszych wersjach Debiana.
- Iptables ma teoretycznie ok 36 mln kombinacji polecen, jest szalenie elastyczne, jezeli tylko sie wie jak ...
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: regoly iptables blokuja dostep do Internetu

Post autor: dedito »

Z mojego punktu widzenia ... wątek traci sens.
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

Re: regoly iptables blokuja dostep do Internetu

Post autor: Matrixx »

No ale gdyby np Morfik cos napisal to by mogl byc bardzo ciekawy.
ODPOWIEDZ