Strona 2 z 4
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 18:11
autor: Matrixx
Probowalem tak:
Kod: Zaznacz cały
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
Ale niestety - odcina od Sieci.
Dziekuje za probe przyjscia z pomoca i uczciwe postawienie sprawy.
Moze jakis inny uzytkownik Debiana pomoze?
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 10 czerwca 2016, 13:46
autor: mariaczi
Prośba, nie zgaduj - poczytaj.
Zanim będziesz miał stan ESTABLISHED czy RELATED to pierw musi przelecieć pakiet NEW.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 10 czerwca 2016, 14:32
autor: pawkrol
Chociaż dałbyś możliwość poprawnej pracy loopback (.....OUTPUT -o lo -j ACCEPT)
Ty chcesz, aby host mógł wysłać tylko zapytania dns ?
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 10 czerwca 2016, 18:22
autor: Matrixx
mariaczi pisze:Prośba, nie zgaduj - poczytaj.
Zanim będziesz miał stan ESTABLISHED czy RELATED to pierw musi przelecieć pakiet NEW.
Wiem. Przeglądarka wpierw odpytuje resolver, który wysyła zapytanie DNS do serwera DNS. Tu jest pierwsze połączenie w stanie NEW. Potem pakiet z odpowiedzią na zapytanie DNS wraca do ciebie i uderza w ESTABLISHED,RELATED w INPUT. Potem przeglądarka ma już adres serwera www i tworzy nowe połączenie znów w stanie NEW i kieruje pakiet na port 80 dajmy na to na ten serwer. Dobrze?
W Internecie jest mnostwo grafiki dot 3-way handshake a wcale nie ma grafiki pokazujacej relacje trasowania pakietow w stosunku do: tablic,lancuchow,regol firewalla iptables. Ludzie w wiekszosci 80% sa wzrokowcami i lepiej zapamietuja czytelne obrazy anizeli martwy text czy regolki.
Gdybys mial ww grafiki to bylbym ogromnie wdzieczny za dzialajace sznurki.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 10 czerwca 2016, 18:34
autor: Matrixx
pawkrol pisze:Chociaż dałbyś możliwość poprawnej pracy loopback (.....OUTPUT -o lo -j ACCEPT)
Ty chcesz, aby host mógł wysłać tylko zapytania dns ?
Poruszyles kwestie ktorej nie wiem, mianowicie czy uslugi beda ze soba gadaly jezeli loopback bedzie tylko na wyjsciu?
Czy loopback ma zwiazek z dostepem do Internetu i warunkuje dostep do niego? (mysle, ze nie)
Ty chcesz, aby host mógł wysłać tylko zapytania dns ?
Chce zeby hosta mogly wylacznie opuszczac:
- minimum polaczen niezbednych do dzialania Internetu.
- polaczenia zainicjowane przeze mnie.
Natomiast bezwarunkowa blokada dla:
- backdorow
- rogue software
- innych niepozadanych gosci.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 10 czerwca 2016, 20:02
autor: pawkrol
Loopback zostaw w spokoju. Niech pakiety krążą sobie po procesach lokalnych bez przeszkód (in out).
Do działania internetu hm.... znowu zastanów się co rozumiesz poprzez to. Połączenia http,https,smtp,vpn?
Ponadto skąd iptables ma wiedzieć co jest backoderem, a co nie. Jeśli chcesz analizować pakiety pod takim kontem to może jakiś system ips by cie urządzał.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 11 czerwca 2016, 21:27
autor: Yampress
prościej się nie da
viewtopic.php?f=28&t=33751
Nie wiem po co komplikujesz
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 12 czerwca 2016, 13:34
autor: Matrixx
Podany przez ciebie link jest w mojej skoromnej opinii baaardzo slabosilny.
To jazda po najmniejszej lini oporu, skopiuj i wklej odpal i sam sie oszukuj ze masz firewalla.
Po pierwsze nie mowi nic o IPv6.
Po drugie nie mowi nic o lancuchach FORWARD I OUTPUT przez ktore najczesciej idzie "niezyczliwy traffic"
Po trzecie nie jest wyprofilowany do potrzeb (uslug) desktopa.
Moglbym tak jeszcze dlugo, ale po co?
Dodam jeszcze ze stateful iptables firewall jak prawie zadne inne narzedzie moze byc dostosowany do indywidualnych wymagan uzytkownika,jedynym ograniczeniem jest tutaj wiedza kreatora regolek i calego skryptu.
Najpierw chce zrobic bastion: Defoult Policy 3 x DROP.
Zastosowac petle zwrotna.
Nastepnie zgoda na RELATED i ESTABLISHED w lancuchu INPUT
Nastepnie wybijanie "dziur" w lancuchu OUTPUT
Ja wlasnie wymyslilem sobie ze pozwole na minimalny traffic na lancuchu OUTPUT, niezbedny do polaczenia z Internetem, moze jeszcze port 80 po HTTP dla przegladarki natomiast wszystko inne na na tym lancuchu BLOCK albo REJECT ev DROP.
Ruch wejsciowy na OUTPUT swobodny.
Zastosowac regoly zezwalajace na wej/wyj ruch DNS, zeby sie nie odciac od Internetu.
Celem jest wpuszczanie ne wejsciu wylacznie polaczen "powiazanych i ustanowionych", dropowanie wszystkiego na lancuchu FORWARD, na lancuchu OUTPUT: wypuszczanie niezbednego minimum i przegladarki (dropowanie wszystkiego innego), swobodne wpuszczanie wszystkiego. Oczekuje, ze w ten sposob np komunikaty backdorow nie beda mogly opuscic mojego desktopa,
Nazwalbym to "selektywnym, filtrowaniem ruchu wyjsciowego" lub "egress traffic filtering/shaping"
Wszyscy pisza o ruchu wejsciowym, jaki to on jest wazny. Natomiast malo kto pisze o rzeczywistej randze ruchu wyjsciowego, ktory jest znacznie wazniejszy.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 12 czerwca 2016, 14:06
autor: dedito
Używasz łańcucha FORWARD na desktopie?
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 12 czerwca 2016, 15:05
autor: Matrixx
Nie jestem routerem, oczywiscie ze nie.