Strona 1 z 2
wadliwe działanie iptables
: 13 marca 2009, 21:26
autor: coolturka
Witam.
Skonfigurowałem iptables ale chyba nie działa jak powinno.
Kod: Zaznacz cały
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
roblem w tym, że mam odblokowany tylko port 80 i dnsy (samba to wiadomo jest lokalnie) ale gdy
próbuję wejść na stronę https czyli na porcie 443 otwiera mi ją też mimo iż taki port nie jest "odblokowany" w iptables.
Tak samo jak mogę bez problemu przeglądać ftp i ściągać z nich dane.
Więc mam złą konfigurację czy jak?
Przejrzałem już wiele stron przez Google i nie znalazłem żadnej sensownej odpowiedzi.
Pomoże mi ktoś proszę?
: 13 marca 2009, 22:16
autor: goofy
Co nie jest zabronione, jest dozwolone. Nie masz ustawionych zadnych restrykcji na lancuchu OUTPUT, czyli zgodnie z
mozesz laczyc sie na dowolnym porcie z dowolnym hostem.
: 14 marca 2009, 00:23
autor: coolturka
Ok, to sie zgadza i to rozumiem. Ale skoro odpowiedz przychodzi na porcie innym niz wskazane w iptables to chyba cos nie tak, prawda? Rozumiem to tak, ze ktokolwiek moze sobie wejsc na jakims porcie, bo regula INPUT cos nie tak dziala skoro "przepusza" na innych portach. Racja?
: 14 marca 2009, 01:23
autor: goofy
Za przepuszczana odpowiedz odpowiada
juz ta linijka:
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Krotko mowiac, przepuszczane sa te polaczenia, ktore uprzednio sam zainicjowales. W tym momencie ponizsze linijki sa juz zbedne:
Kod: Zaznacz cały
iptables -A INPUT -s 0/0 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT
: 17 marca 2009, 23:12
autor: coolturka
Po usunięciu tej linijki:
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
strony
w ogóle przestały chodzić. A chciałbym by chodziło tylko to co ustawię w na portach, nie to co
po prostu będzie zainicjowane z mojego komputera. Dysponuje ktoś jakimiś gotowymi przykładami? I tak samo mam pytanie jak ustawić konkretne porty przy ,,FORWARD''? Bo póki co
po prostu całość jest przepuszczana do sieci lokalnej.
: 18 marca 2009, 00:47
autor: goofy
Nie zawsze http dziala na porcie 80. Jesli chcesz sobie utrudnic zycie, a przy okazji zrobic niepotrzebna dziure w firewallu to usun:
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
a linijki:
Kod: Zaznacz cały
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT
zmien na:
Kod: Zaznacz cały
iptables -A INPUT -s 0/0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 80 -j ACCEPT
: 18 marca 2009, 16:20
autor: Yampress
rozumiem ze to jest serwer .. który udostepnia www na porcie 80 443
opraz sambe po localu...
Kod: Zaznacz cały
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 443 -j ACCEPT
: 18 marca 2009, 22:28
autor: coolturka
tzn nie do konca tak Yampress, jest komputer z linuxem i we dwoch na nim siedzimy i korzystamy z niego jak z normalnego komputera, poza tym komputer ten tez przekazuje dostep do internetu dalej do sieci lokalnej. Ponadto na tym serwerze jest samba. I teraz moze bedzie jasniej, by z serwera mozna przegladac internet tylko po http i https, tak samo siec lokalna miala tylko dostep do internetu po porcie 80 i 443. Ewentualnie miec wplyw ktore wylacznie porty moga byc odblokowane przeze mnie.
: 19 marca 2009, 15:49
autor: Yampress
Rozumiem, że dzielisz internet komus jeszcze dalej. Czy zewnętrzne ip tego serwera jest przydzielane dynamicznie czy statycznie?
: 19 marca 2009, 18:06
autor: coolturka
Dokladnie tak. Ip jest dynamiczne. Wszystko dziala jak sie nalezy, tylko pozostaje kwestia portow.
[ Dodano: 2009-03-19, 19:46 ]
Goofy, a dlaczego uwazasz ze przez to powstanie dziura? I jaka jest w sumie roznica miedzy sport a dport? Tzn wiem ze jeden to zrodlowy a drugi docelowy.