Strona 1 z 1
iptables - "-m state "puszcza wszystko
: 15 lipca 2013, 12:36
autor: paweldnb
Witam
Mam spory problem z konfiguracją serwera.
iptables wyglada tak:
Kod: Zaznacz cały
:INPUT DROP [1:60]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7:900]
-A INPUT -i eth0.25 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
-A INPUT -s xxx.xx.xx.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 20:21 -j ACCEPT
#-A INPUT -s xxx.xx.xx.0/24 -p ICMP -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 9091 -j ACCEPT
-A INPUT -i eth0.25 -s xxx.xx.xx.0/24 -p tcp --dport 5001:5010 -j ACCEPT
COMMIT
Gdy nie ma wpisu :
Kod: Zaznacz cały
-A INPUT -i eth0.250 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
system nie odpowiada na ICMP a gdy dodam odpowiada mimo zablokowania, ktoś ma pomysł jako to rozwiązać ?
: 15 lipca 2013, 13:19
autor: LordRuthwen
A co się stanie jak usuniesz NEW?
: 15 lipca 2013, 13:40
autor: paweldnb
LordRuthwen pisze:A co się stanie jak usuniesz NEW?
Nic się nie zmienia. Przerywam połączenie tzn ping i wznawiam i jest to samo . Sam już nie wiem może to wina architektury SPARC
bo np vsftpd w ogóle nie działa -a inny działa ...
oczywiście po zmianach iptables-apply
: 15 lipca 2013, 18:40
autor: Yampress
dziura w firewallu.
No przecież ta linia wpuszcza wszystko
-A INPUT -i eth0.25 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
aby system odpowiadał na pingi musisz wpuścić ICMP na INPUT. I to konkretne typy zapytań
http://www.cyberciti.biz/tips/linux-ipt ... -ping.html
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
To możesz obudować w dodatkowe adresy kto co może itp
: 15 lipca 2013, 20:46
autor: paweldnb
Yampress pisze:dziura w firewallu.
No przecież ta linia wpuszcza wszystko
wiem, wkleiłem bo już wszystkiego próbowałem. Czytałem guida z debian.pl no i poustawiałem jak należy i śmiga tyle ,że :
jak nie używam STATE'a to po zablokowaniu icmp natychmiast bez zwłoki icmp nie odpowiada. A jak jest zastosowany STATE to muszę na zdalnym hoście przerwać ping i dopiero wtedy już działa jak należy.
teraźniejszy konfig:
Kod: Zaznacz cały
*filter
:INPUT DROP [50:15638]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1299:158232]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s xxx.xxx.xxx/24 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 20:21 -m state --state NEW -j ACCEPT
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 9091 -m state --state NEW -j ACCEPT
-A INPUT -s xxx.xxx.xxx/24 -i eth0.25 -p tcp -m tcp --dport 5001:5010 -m state --state NEW $
-A INPUT -s xxx.xxx.xxx/24 -p icmp -j ACCEPT
commit
co do icmp to przerobie tak jak mówisz bo server docelowy wystawiony na świat
: 15 lipca 2013, 21:39
autor: Yampress
jak chcesz ping tylko to po co akceptujesz cały ICMP na INPUT?
https://www.iana.org/assignments/icmp-p ... ters.xhtml
--icmp-type 8
Na INPUT wpuszczasz 8 Echo Request (żądanie echa)
Na OUTPUT wypuszczasz Echo Reply (zwrot echa – "odpowiedź na ping")
Ale polityke OUTPUT masz na ACCEPT więc wypuszcza wszystko... i nie trzeba tego na OUTPUT ustawiać.
: 15 lipca 2013, 21:55
autor: paweldnb
Yampress pisze:jak chcesz ping tylko to po co akceptujesz cały ICMP na INPUT?
https://www.iana.org/assignments/icmp-p ... ters.xhtml
Na INPUT wpuszczasz 8 Echo Request (żądanie echa)
Na OUTPUT wypuszczasz Echo Reply (zwrot echa – "odpowiedź na ping")
Ale polityke OUTPUT masz na ACCEPT więc wypuszcza wszystko... i nie trzeba tego na OUTPUT ustawiać.
spokojnie już poprawiłem tylko nurtuje mnie zachowanie które opisałem wcześniej . Chyba najprościej będzie napisać skryp restartujący vlan'a