wadliwe dzia

coolturka · Post autor: **coolturka** » 13 marca 2009, 21:26

Witam. Skonfigurowałem iptables ale chyba nie działa jak powinno.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT

iptables -A INPUT -s 0/0 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT

iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

Problem w tym, że mam odblokowany tylko port 80 i dnsy (samba to wiadomo jest lokalnie) ale gdy próbuję wejść na stronę https czyli na porcie 443 otwiera mi ją też mimo iż taki port nie jest "odblokowany" w iptables. Tak samo jak mogę bez problemu przeglądać ftp i ściągać z nich dane. Więc mam złą konfigurację czy jak? Przejrzałem już wiele stron przez Google i nie znalazłem żadnej sensownej odpowiedzi. Pomoże mi ktoś proszę?

goofy · Post autor: **goofy** » 13 marca 2009, 22:16

Co nie jest zabronione, jest dozwolone. Nie masz ustawionych zadnych restrykcji na lancuchu OUTPUT, czyli zgodnie z

Kod: Zaznacz cały

iptables -P OUTPUT ACCEPT

mozesz laczyc sie na dowolnym porcie z dowolnym hostem.

coolturka · Post autor: **coolturka** » 14 marca 2009, 00:23

Ok, to sie zgadza i to rozumiem. Ale skoro odpowiedz przychodzi na porcie innym niz wskazane w iptables to chyba cos nie tak, prawda? Rozumiem to tak, ze ktokolwiek moze sobie wejsc na jakims porcie, bo regula INPUT cos nie tak dziala skoro "przepusza" na innych portach. Racja?

goofy · Post autor: **goofy** » 14 marca 2009, 01:23

Za przepuszczana odpowiedz odpowiada

juz ta linijka:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Krotko mowiac, przepuszczane sa te polaczenia, ktore uprzednio sam zainicjowales. W tym momencie ponizsze linijki sa juz zbedne:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT

iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT

coolturka · Post autor: **coolturka** » 17 marca 2009, 23:12

Po usunięciu tej linijki:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

strony w ogóle przestały chodzić. A chciałbym by chodziło tylko to co ustawię w na portach, nie to co po prostu będzie zainicjowane z mojego komputera. Dysponuje ktoś jakimiś gotowymi przykładami? I tak samo mam pytanie jak ustawić konkretne porty przy ,,FORWARD''? Bo póki co po prostu całość jest przepuszczana do sieci lokalnej.

goofy · Post autor: **goofy** » 18 marca 2009, 00:47

Nie zawsze http dziala na porcie 80. Jesli chcesz sobie utrudnic zycie, a przy okazji zrobic niepotrzebna dziure w firewallu to usun:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

a linijki:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT

zmien na:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 80 -j ACCEPT

Post autor: **Yampress** » 18 marca 2009, 16:20

rozumiem ze to jest serwer .. który udostepnia www na porcie 80 443
opraz sambe po localu...

Kod: Zaznacz cały

iptables -F 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

iptables -A INPUT -i lo -j ACCEPT 

iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137  -j ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 138  -j ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 139  -j ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 445 -j ACCEPT 

iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 443 -j ACCEPT

coolturka · Post autor: **coolturka** » 18 marca 2009, 22:28

tzn nie do konca tak Yampress, jest komputer z linuxem i we dwoch na nim siedzimy i korzystamy z niego jak z normalnego komputera, poza tym komputer ten tez przekazuje dostep do internetu dalej do sieci lokalnej. Ponadto na tym serwerze jest samba. I teraz moze bedzie jasniej, by z serwera mozna przegladac internet tylko po http i https, tak samo siec lokalna miala tylko dostep do internetu po porcie 80 i 443. Ewentualnie miec wplyw ktore wylacznie porty moga byc odblokowane przeze mnie.

Post autor: **Yampress** » 19 marca 2009, 15:49

Rozumiem, że dzielisz internet komus jeszcze dalej. Czy zewnętrzne ip tego serwera jest przydzielane dynamicznie czy statycznie?

coolturka · Post autor: **coolturka** » 19 marca 2009, 18:06

Dokladnie tak. Ip jest dynamiczne. Wszystko dziala jak sie nalezy, tylko pozostaje kwestia portow.

[ Dodano: 2009-03-19, 19:46 ]
Goofy, a dlaczego uwazasz ze przez to powstanie dziura? I jaka jest w sumie roznica miedzy sport a dport? Tzn wiem ze jeden to zrodlowy a drugi docelowy.

wadliwe dzia

wadliwe działanie iptables