Strona 1 z 2
iptables - tak to ma działać?
: 23 maja 2016, 18:14
autor: koper97
Witam,
częściowo skonfigurowałem sobie firewalla, tylko nie wiem czy tak to powinno działać
po kolei:
Kod: Zaznacz cały
#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT
#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
#chromecast:
iptables -I INPUT -p udp -m udp --dport 32768:61000 -j ACCEPT
problem w tym że po dodaniu reguł:
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
zauważyłem że qbittorrent zaczyna pobierać / wysyłać pliki.....
myślałęm że będę musiał dodać wyjątek do iptables....
powinno tak być?
a tu wynik polecenia iptable -L
Kod: Zaznacz cały
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:32768:61000
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Re: iptables - tak to ma działać?
: 23 maja 2016, 22:19
autor: Yampress
A mój firewall wygląda tak
viewtopic.php?f=28&t=33751
A twój co w ogóle ma robić? Jest na serwer? router? czy desktop?
Re: iptables - tak to ma działać?
: 23 maja 2016, 22:58
autor: koper97
desktop, GNU/Linux 8 (jessie) 64-bitowy, stable
Re: iptables - tak to ma działać?
: 24 maja 2016, 06:57
autor: dedito
koper97 pisze:desktop, GNU/Linux 8 (jessie) 64-bitowy, stable
W takim razie poniższe regułki są zbędne:
Kod: Zaznacz cały
iptables -A FORWARD -o lo -j ACCEPT
iptables -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
koper97 pisze:a tu wynik polecenia iptable -L
Pokaż z parametrami -vL.
Re: iptables - tak to ma działać?
: 24 maja 2016, 10:47
autor: Yampress
Regół zbędnych w tym firewallu jego jest więcej.
Na samym początku dwie do czyszczenia natu
potem forward na lo
potem jeszcze ze 2
ten firewall to przeklejka z firewalla, który ktoś stworzył, bez pojecia co do czego służy. I czy jest potrzebne czy nie. Tak mimo posiadania firewalla, tworzy się luki w sustemie przez dziurawa reguły
Najlepiej wywalić to wszystko i rozpocząć z pustym plikiem.
Zacząć od:
ustawić polityki
ustawić blokady
potem ustwiać co ma być dotępne
dodać regułę na lo
Re: iptables - tak to ma działać?
: 24 maja 2016, 17:22
autor: koper97
Yampress - masz rację wzorowałem się na tutorialu znalezionym w necie.... mój błąd
używam Debiana od kilku miesięcy - staram się sam sobie radzić i nie zaśmiecać forum.
Wrzucam poprawioną wersję, czy moglibyście proszę ją sprawdzić ewentualnie poprawić?
Kod: Zaznacz cały
#czyści istniejące reguły
iptables -F
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
#Akceptacja ruchu wychodzącego
iptables -P OUTPUT ACCEPT
#Akceptacja ruchu na loopback
iptables -A INPUT -i lo -j ACCEPT
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#chromecast:
iptables -I INPUT -p udp -m udp --dport 32768:61000 -j ACCEPT
wynik polecenia iptables -L
Kod: Zaznacz cały
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:32768:61000
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Kod: Zaznacz cały
Chain INPUT (policy DROP 548 packets, 198K bytes)
pkts bytes target prot opt in out source destination
114 61171 ACCEPT udp -- any any anywhere anywhere udp dpts:32768:61000
2 328 ACCEPT all -- lo any anywhere anywhere
5650 567K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 9675 packets, 7876K bytes)
pkts bytes target prot opt in out source destination
nawet po poprawkach i włączeniu qbittorrent, zaczyna prawie natychmiast wysyłać / pobierać pliki
Re: iptables - tak to ma działać?
: 24 maja 2016, 18:07
autor: dedito
koper97 pisze:
nawet po poprawkach i włączeniu qbittorrent, zaczyna prawie natychmiast wysyłać / pobierać pliki
W końcu na to zezwoliłeś więc prawidłowo to działa.
Re: iptables - tak to ma działać?
: 24 maja 2016, 18:34
autor: koper97
ok, dzięki za wyrozumiałość i cierpliwość.
Dzięki za odpowiedzi - w końcu jeśli chodzi o bezpieczeństwo systemu to nie ma żartów...
teraz przynajmniej wiem że mam prawidłowo skonfigurowanego firewalla.
Re: iptables - tak to ma działać?
: 24 maja 2016, 19:40
autor: Yampress
na desktop wklej moj firewall i będzie wszystko oki.
gdybyś chciał na serwer albo router to już trzeba coś bardziej "wyczesanego" tworzyć
Re: iptables - tak to ma działać?
: 24 maja 2016, 23:41
autor: koper97
Wkleiłem Twojego firewalla, tylko musiałem dodać jedną regułę, bo inaczej nie widziało mi chromecasta w sieci,
jeszcze raz dzięki,