Dziwny problem z firewallem

goners · Post autor: **goners** » 26 grudnia 2008, 22:28

Nie dodaje się ta o utrzymywanie połączeń

I tylko przy niej jest problem

markossx · Post autor: **markossx** » 26 grudnia 2008, 22:36

Wrzuć na forum wyniki:

Kod: Zaznacz cały

ifconfig
ip a s

Oraz jeszcze swoje regułki; dziś już na to nie spojrzę bo muszę odpocząć po świętowaniu,
jutro spróbujemy coś zaradzić, jeśli sobie oczywiście wcześniej nie poradzisz...

edit:
daj jeszcze zamiast -i interfejs
-d adres tego interfejsu
to powinno działać.

goners · Post autor: **goners** » 26 grudnia 2008, 22:46

Kod: Zaznacz cały

file4all:~# ifconfig
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:841 errors:0 dropped:0 overruns:0 frame:0
          TX packets:558 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:68747 (67.1 KiB)  TX bytes:63384 (61.8 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:91.203.132.13  P-t-P:91.203.  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

venet0:1  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:91.203.132.16  P-t-P:91.203.  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

oraz:

Kod: Zaznacz cały

file4all:~# ip a s
1: lo: <LOOPBACK,UP,10000> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
3: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,10000> mtu 1500 qdisc noqueue
    link/void
    inet 127.0.0.1/32 scope host venet0
    inet 91.203.132.13/32 scope global venet0:0
    inet 91.203.132.16/32 scope global venet0:1

Spróbowałem wrzucić adres i:

Kod: Zaznacz cały

file4all:~# iptables -A INPUT -d 91.203. -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables: No chain/target/match by that name

Reguły wszystkie działają:

Kod: Zaznacz cały

file4all:~# iptables -L -nv
Chain INPUT (policy ACCEPT 592 packets, 47292 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:8945
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:20
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:21
   17  3161 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 1
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 482 packets, 53479 bytes)
 pkts bytes target     prot opt in     out     source               destination

Natomiast jeśli tylko zmienię INPUT na DROP, od razu wszystko blokuje. Reguły, które chcę zostają bo widzę w panelu, przez który mam dostęp do ssh jak poblokują się porty.

markossx · Post autor: **markossx** » 26 grudnia 2008, 23:05

Daj jeszcze reguły.

[ Dodano: 2008-12-26, 23:16 ]

I tak myśle bo nie daje mi to spokoju a z venet'ami miałem niewiele wspólnego, że jeszcze trzeba by chyba dodać odpowiednie reguły dla interfejsu venet0, coś w stylu:

Kod: Zaznacz cały

iptables -A INPUT  -i venet0 -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o venet0 -d 127.0.0.1 -j ACCEPT

dla loopback również bo ruch raczej gdzieś tu się zatrzymuje (skoro dajesz -d i nie chodzi, zresztą wszystko inne oprócz venet0 i loop to interfejsy wirtualne), choć pewności nie mam, trzeba by posłuchać nieco :evil:
Dobra spadam bo już ciężko kojarzę i zacznę jakieś bzdury wypisywać.

siwuch86 · Post autor: **siwuch86** » 27 grudnia 2008, 15:03

Natomiast jeśli tylko zmienię INPUT na DROP, od razu wszystko blokuje. Reguły, które chcę zostają bo widzę w panelu, przez który mam dostęp do ssh jak poblokują się porty.

No i na moja glowe nic dziwnego ale zanim cos powiem to zapytam:
co chcesz osiągnąc np. taką regułą?

Kod: Zaznacz cały

#www
iptables -A INPUT -p tcp --sport 80 -j ACCEPT

bo wydaje mi sie ze chcesz osiagnac cos innego niz ta reguła saba przedstawia.

markossx · Post autor: **markossx** » 27 grudnia 2008, 20:05

Słuszna uwaga @siwuch86, jednak tak czy inaczej chodzi tu jeszcze o coś innego.
Trzeba próbować według mnie z tym co opisałem wyżej...

siwuch86 · Post autor: **siwuch86** » 27 grudnia 2008, 20:07

Wiem ale nie mam pojecia jak to zrobic. Aczkolwiek autor sie dziwi dlaczego mu sie wszystko blokuje to przynajmniej tyle moge pomoc ;-)

goners · Post autor: **goners** » 27 grudnia 2008, 22:14

siwuch86 pisze:
Natomiast jeśli tylko zmienię INPUT na DROP, od razu wszystko blokuje. Reguły, które chcę zostają bo widzę w panelu, przez który mam dostęp do ssh jak poblokują się porty.
No i na moja glowe nic dziwnego ale zanim cos powiem to zapytam:
co chcesz osiągnąc np. taką regułą?
Kod: Zaznacz cały
#www
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
bo wydaje mi sie ze chcesz osiagnac cos innego niz ta reguła saba przedstawia.

Odblokować port 80 (np. Apache) dla połączeń przychodzących, zła reguła??

siwuch86 · Post autor: **siwuch86** » 27 grudnia 2008, 22:18

Jeśli na tej maszynie, na której piszesz te regułki masz serwer apache to jak ktoś siś do niego odwołuje to kieruje się na port 80, a nie z portu 80. To samo się tyczy większości regułek, które tam masz.
Powinno być:

Kod: Zaznacz cały

#www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

i to tłumaczy dlaczego nie możesz się dostać jak ustawisz POLICY dla INPUT na DROP.

Natomiast dlaczego ta regułka nie chce przejść u Ciebie:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

pojęcia nie mam, ktoś inny musi pomóc.

I tak na marginesie - proponuje na samym początku w firewallu dodać reguły czyszczące wszystko (opcja -F).

goners · Post autor: **goners** » 27 grudnia 2008, 23:03

siwuch86 pisze:Jeśli na tej maszynie, na której piszesz te regułki masz serwer apache to jak ktoś siś do niego odwołuje to kieruje się na port 80, a nie z portu 80. To samo się tyczy większości regułek, które tam masz.
Powinno być:
Kod: Zaznacz cały
#www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
i to tłumaczy dlaczego nie możesz się dostać jak ustawisz POLICY dla INPUT na DROP.

Natomiast dlaczego ta regułka nie chce przejść u Ciebie:
Kod: Zaznacz cały
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
pojęcia nie mam, ktoś inny musi pomóc.

I tak na marginesie - proponuje na samym początku w firewallu dodać reguły czyszczące wszystko (opcja -F).

Zmieniłem i wszystko działa. Dziękuję bardzo za pomoc, także Tobie markossx