Strona 1 z 4
iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 15:00
autor: Matrixx
Witam powtornie bo nie radze sobie z konfigiem iptables.
Na desktopie z Debianem Jessie zamierzam skonfigurowac iptables zeby:
- Polityka Domyslna = 3 x DROP
- Na wejsciu wpuszczamy tylko polaczenia nawiazane
- Na wyjsciu
blokujemy wszystkie wychodzace a pozwalamy wylacznie na polaczenia nawiazane z zewnatrz.
Stworzylem prosty zestaw regol:
Kod: Zaznacz cały
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT
Niestety odcina mnie od Internetu, dlaczego?Brak regol DNS?Jak powinny one wygladac?
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 16:38
autor: dedito
Jak się ma nawiązać połączenie skoro tego zabroniłeś?
Musisz zezwolić na jakiś ruch z zewnątrz aby można było nawiązać połączenie.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 16:55
autor: Matrixx
Ale w regole wyjsciowej dalem wyjatek dla ruchu ustanowionego:
Kod: Zaznacz cały
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
Ta regola powinna dzialac w obie strony.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:03
autor: dedito
A gdzie zezwalasz na ustanowienie połączenia ?
Zanim połączenie będzie ustanowione musi przejść etap nawiązania.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:12
autor: Matrixx
W lancuchu INPUT metoda dziala bez koniecznosci przepuszczania pakietow z ustawiona flaga SYN.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:17
autor: dedito
Matrixx pisze:W lancuchu INPUT metoda dziala bez koniecznosci przepuszczania pakietow z ustawiona flaga SYN.
Nie bardzo rozumiem co masz na myśli.
Wg mnie powinieneś dodać w INPUT jakąś regułę dla połączeń NEW.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:30
autor: Matrixx
Lancuch INPUT dziala bezblednie.
Problem jest jedynie z konfiguracja lancucha OUTPUT tak zeby z kompa wychodzilo konieczne minimum DNS?
Natomiast nie ma zadnych ograniczen dla ruchu wejsciowego.
Pare lat temu takie regolki rozwiazywaly sprawe:
Kod: Zaznacz cały
iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT
Ale ja chcialem to zrobic z modulem conntracka.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:34
autor: dedito
Teraz przeczytałem, że chodzi o desktop.
Rozumiem, że to będzie taki desktop do którego będzie się można połączyć tylko z zewnątrz, a ktokolwiek bo siadł do tego desktopa fizycznie to i tak nie połączy się z zewnętrznym światem?
Szczerze mówiąc to nie wiem jak ci to wcześniej działało na tych regułkach, jeśli nic wcześniej nie było w INPUT aby zezwolić na nawiązanie połączenia.
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 17:49
autor: Matrixx
Do tej pory dzialalo swietnie. W ramach wyjasnienia, zamierzam zablokowac caly traffic wywolany przez malware, rogue software i temu podobnych "pasazerow"
Dziwi mnie tylko ze w takiej konfiguracji
Kod: Zaznacz cały
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
W dalszym ciagu jestem zablokowany i nie dziala regola wypuszczajaca ruch ustanowiony na wyjsciu.
Chce wszystkim "pasazerom" zamknac drzwi do wyjscia na swiat (kolokwialnie)
Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.
: 09 czerwca 2016, 18:01
autor: dedito
Teraz chyba rozumiem, ale niestety nie wiem jak ci pomóc.
Moja wiedza nie ogarnia tego tematu.