iptables - w lancuchu OUTPUT wylacznie ruch IN.

[Matrixx]

Probowalem tak:

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

Ale niestety - odcina od Sieci.
Dziekuje za probe przyjscia z pomoca i uczciwe postawienie sprawy.
Moze jakis inny uzytkownik Debiana pomoze?

[mariaczi]

Prośba, nie zgaduj - poczytaj.
Zanim będziesz miał stan ESTABLISHED czy RELATED to pierw musi przelecieć pakiet NEW.

[pawkrol]

Chociaż dałbyś możliwość poprawnej pracy loopback (.....OUTPUT -o lo -j ACCEPT)
Ty chcesz, aby host mógł wysłać tylko zapytania dns ?

[Matrixx]

Prośba, nie zgaduj - poczytaj.
Zanim będziesz miał stan ESTABLISHED czy RELATED to pierw musi przelecieć pakiet NEW.

Wiem. Przeglądarka wpierw odpytuje resolver, który wysyła zapytanie DNS do serwera DNS. Tu jest pierwsze połączenie w stanie NEW. Potem pakiet z odpowiedzią na zapytanie DNS wraca do ciebie i uderza w ESTABLISHED,RELATED w INPUT. Potem przeglądarka ma już adres serwera www i tworzy nowe połączenie znów w stanie NEW i kieruje pakiet na port 80 dajmy na to na ten serwer. Dobrze?
W Internecie jest mnostwo grafiki dot 3-way handshake a wcale nie ma grafiki pokazujacej relacje trasowania pakietow w stosunku do: tablic,lancuchow,regol firewalla iptables. Ludzie w wiekszosci 80% sa wzrokowcami i lepiej zapamietuja czytelne obrazy anizeli martwy text czy regolki.
Gdybys mial ww grafiki to bylbym ogromnie wdzieczny za dzialajace sznurki.

[Matrixx]

Chociaż dałbyś możliwość poprawnej pracy loopback (.....OUTPUT -o lo -j ACCEPT)
Ty chcesz, aby host mógł wysłać tylko zapytania dns ?

Poruszyles kwestie ktorej nie wiem, mianowicie czy uslugi beda ze soba gadaly jezeli loopback bedzie tylko na wyjsciu?
Czy loopback ma zwiazek z dostepem do Internetu i warunkuje dostep do niego? (mysle, ze nie)

Ty chcesz, aby host mógł wysłać tylko zapytania dns ?

Chce zeby hosta mogly wylacznie opuszczac:
- minimum polaczen niezbednych do dzialania Internetu.
- polaczenia zainicjowane przeze mnie.
Natomiast bezwarunkowa blokada dla:
- backdorow
- rogue software
- innych niepozadanych gosci.

[pawkrol]

Loopback zostaw w spokoju. Niech pakiety krążą sobie po procesach lokalnych bez przeszkód (in out).
Do działania internetu hm.... znowu zastanów się co rozumiesz poprzez to. Połączenia http,https,smtp,vpn?
Ponadto skąd iptables ma wiedzieć co jest backoderem, a co nie. Jeśli chcesz analizować pakiety pod takim kontem to może jakiś system ips by cie urządzał.

[Yampress]

prościej się nie da
viewtopic.php?f=28&t=33751

Nie wiem po co komplikujesz

[Matrixx]

Podany przez ciebie link jest w mojej skoromnej opinii baaardzo slabosilny.
To jazda po najmniejszej lini oporu, skopiuj i wklej odpal i sam sie oszukuj ze masz firewalla.
Po pierwsze nie mowi nic o IPv6.
Po drugie nie mowi nic o lancuchach FORWARD I OUTPUT przez ktore najczesciej idzie "niezyczliwy traffic"
Po trzecie nie jest wyprofilowany do potrzeb (uslug) desktopa.
Moglbym tak jeszcze dlugo, ale po co?
Dodam jeszcze ze stateful iptables firewall jak prawie zadne inne narzedzie moze byc dostosowany do indywidualnych wymagan uzytkownika,jedynym ograniczeniem jest tutaj wiedza kreatora regolek i calego skryptu.
Najpierw chce zrobic bastion: Defoult Policy 3 x DROP.
Zastosowac petle zwrotna.
Nastepnie zgoda na RELATED i ESTABLISHED w lancuchu INPUT
Nastepnie wybijanie "dziur" w lancuchu OUTPUT
Ja wlasnie wymyslilem sobie ze pozwole na minimalny traffic na lancuchu OUTPUT, niezbedny do polaczenia z Internetem, moze jeszcze port 80 po HTTP dla przegladarki natomiast wszystko inne na na tym lancuchu BLOCK albo REJECT ev DROP.
Ruch wejsciowy na OUTPUT swobodny.
Zastosowac regoly zezwalajace na wej/wyj ruch DNS, zeby sie nie odciac od Internetu.
Celem jest wpuszczanie ne wejsciu wylacznie polaczen "powiazanych i ustanowionych", dropowanie wszystkiego na lancuchu FORWARD, na lancuchu OUTPUT: wypuszczanie niezbednego minimum i przegladarki (dropowanie wszystkiego innego), swobodne wpuszczanie wszystkiego. Oczekuje, ze w ten sposob np komunikaty backdorow nie beda mogly opuscic mojego desktopa,
Nazwalbym to "selektywnym, filtrowaniem ruchu wyjsciowego" lub "egress traffic filtering/shaping"
Wszyscy pisza o ruchu wejsciowym, jaki to on jest wazny. Natomiast malo kto pisze o rzeczywistej randze ruchu wyjsciowego, ktory jest znacznie wazniejszy.

[dedito]

Używasz łańcucha FORWARD na desktopie?

[Matrixx]

Nie jestem routerem, oczywiscie ze nie.