Iptables interpretacja wyników
: 25 stycznia 2013, 15:53
Witam!
Niedawno powróciłem do zawodu administratora po długiej przerwie i ciągle się dokształcam. Serwerem w mojej firmie do obecnej chwili zajmował się ktoś inny. Chciałbym znaleźć odpowiedzi na kilka pytań dotyczących firewalla. Oto wynik iptables-save na moim serwerze:
Interesują mnie wpisy zaznaczone na czerwono... Nigdzie na sieci się z podobnymi nie spotkałem. Jakimi poleceniami je uzyskano? Czy są to jakieś definicje? Każda pomoc i sugestia jest mile widziana.
Z góry dziękuję za każdą pomoc.
Niedawno powróciłem do zawodu administratora po długiej przerwie i ciągle się dokształcam. Serwerem w mojej firmie do obecnej chwili zajmował się ktoś inny. Chciałbym znaleźć odpowiedzi na kilka pytań dotyczących firewalla. Oto wynik iptables-save na moim serwerze:
Kod: Zaznacz cały
# Generated by iptables-save v1.4.8 on Fri Jan 25 14:46:00 2013
*raw
:PREROUTING ACCEPT [42626421:31920226533]
:OUTPUT ACCEPT [20862765:15512173497]
COMMIT
# Completed on Fri Jan 25 14:46:00 2013
# Generated by iptables-save v1.4.8 on Fri Jan 25 14:46:00 2013
*mangle
:PREROUTING ACCEPT [42626421:31920226533]
:INPUT ACCEPT [26415557:22928630243]
:FORWARD ACCEPT [16117111:8987149266]
:OUTPUT ACCEPT [20862765:15512173497]
:POSTROUTING ACCEPT [36745862:24460840848]
COMMIT
# Completed on Fri Jan 25 14:46:00 2013
# Generated by iptables-save v1.4.8 on Fri Jan 25 14:46:00 2013
*nat
:PREROUTING ACCEPT [1026336:65758958]
:POSTROUTING ACCEPT [20321:5249828]
:OUTPUT ACCEPT [702078:76094331]
-A PREROUTING ! -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d xxx.yyy.zzz.aaa/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.1
-A PREROUTING -d xxx.yyy.zzz.aaa/32 -p tcp -m multiport --dports 1543 -j DNAT --to-destination 10.1.1.1
-A POSTROUTING -o eth0 -j SNAT --to-source xxx.yyy.zzz.aaa
-A POSTROUTING -d 10.1.1.1/32 -j SNAT --to-source xxx.yyy.zzz.aaa
COMMIT
# Completed on Fri Jan 25 14:46:00 2013
# Generated by iptables-save v1.4.8 on Fri Jan 25 14:46:00 2013
*filter
:INPUT DROP [1846:73509]
:FORWARD DROP [11880:1119609]
:OUTPUT DROP [0:0]
[color=#ff0000]:bad_tcp - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:fw_baza - [0:0]
:fw_icmp - [0:0]
:fw_tcp - [0:0]
:fw_udp - [0:0]
:good_tcp - [0:0]
:icmp - [0:0]
:local - [0:0]
:tcp - [0:0]
:tcp_biuro - [0:0]
:tcp_pracownie - [0:0]
:tcp_serwer - [0:0]
:udp - [0:0][/color]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
-A INPUT -p tcp -j bad_tcp
-A INPUT -i lo -j local
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -j tcp
-A INPUT -p udp -j udp
-A INPUT -p icmp -j icmp
-A INPUT -s xxx.yyy.zzz.aaa/32 -j LOG
-A FORWARD -p tcp -j bad_tcp
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.1.1.102/32 -j ACCEPT
-A FORWARD ! -i eth0 -p tcp -j fw_tcp
-A FORWARD ! -i eth0 -p udp -j fw_udp
-A FORWARD ! -i eth0 -p icmp -j icmp
-A FORWARD -d 10.1.1.1/32 -j fw_baza
-A OUTPUT -p tcp -j bad_tcp
-A OUTPUT -j local
-A bad_tcp -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A fw_baza -p tcp -m tcp --dport 3389 -j good_tcp
-A fw_baza -p tcp -m multiport --dports 135,1433,1434,1543 -j good_tcp
-A fw_baza -p udp -m udp --dport 1433:1434 -j ACCEPT
-A fw_tcp -p tcp -m multiport --dports 20,21 -j good_tcp
-A fw_tcp -p tcp -m tcp --dport 22 -j good_tcp
-A fw_tcp -p tcp -m multiport --dports 25,587 -j good_tcp
-A fw_tcp -p tcp -m tcp --dport 53 -j good_tcp
-A fw_tcp -p tcp -m multiport --dports 80,443 -j good_tcp
-A fw_tcp -p tcp -m multiport --dports 110,995 -j good_tcp
-A fw_tcp -p tcp -m multiport --dports 143,993 -j good_tcp
-A fw_tcp -i eth2 -p tcp -m multiport --dports 137,138,139,445 -m state --state NEW -j DROP
-A fw_tcp ! -o eth0 -p tcp -m multiport --dports 137,138,139,445 -j good_tcp
-A fw_tcp ! -o eth2 -p tcp -m tcp --dport 9100 -j good_tcp
-A fw_tcp ! -o eth0 -p tcp -m tcp --dport 3389 -j good_tcp
-A fw_tcp -p tcp -m tcp --dport 5222 -j good_tcp
-A fw_tcp -p tcp -m tcp --dport 5579 -j good_tcp
-A fw_tcp -p tcp -m multiport --dports 14000:14020 -j good_tcp
-A fw_udp -p udp -m udp --dport 53 -j ACCEPT
-A fw_udp ! -i eth2 -p udp -m multiport --dports 137,138,139 -j ACCEPT
-A good_tcp -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A good_tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A good_tcp -p tcp -j DROP
-A icmp -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A local -s 127.0.0.1/32 -j ACCEPT
-A local -s 10.1.1.100/32 -j ACCEPT
-A local -s 10.1.2.100/32 -j ACCEPT
-A local -s 37.128.62.134/32 -j ACCEPT
-A tcp -p tcp -m tcp --dport 22 -j good_tcp
-A tcp -p tcp -m tcp --dport 53 -j good_tcp
-A tcp -p tcp -m multiport --dports 80,443 -j good_tcp
-A tcp -s 10.1.2.0/24 -i eth2 -j tcp_pracownie
-A tcp -s 10.1.1.0/24 -i eth1 -j tcp_biuro
-A tcp_biuro -p tcp -m multiport --dports 137,138,139,445 -j good_tcp
-A tcp_biuro -p tcp -m tcp --dport 3128 -j good_tcp
-A tcp_pracownie -p tcp -m multiport --dports 137,138,139,445 -j good_tcp
-A tcp_pracownie -p tcp -m tcp --dport 3128 -j good_tcp
-A udp -p udp -m udp --dport 53 -j ACCEPT
-A udp -p udp -m udp --dport 123 -j ACCEPT
-A udp ! -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A udp ! -i eth0 -p udp -m multiport --dports 137,138,139 -j ACCEPT
COMMIT
# Completed on Fri Jan 25 14:46:00 2013
Z góry dziękuję za każdą pomoc.