Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

regoly iptables blokuja dostep do Internetu

https://www.debian.pl/viewtopic.php?t=36302

Strona 1 z 1

regoly iptables blokuja dostep do Internetu

: 25 września 2022, 18:16
autor: Matrixx
Najpierw dane:

Kod: Zaznacz cały

uname -a
Linux debian2 5.10.0-18-amd64 #1 SMP Debian 5.10.140-1 (2022-09-02) x86_64 GNU/Linux

Kod: Zaznacz cały

dpkg -l | grep netfilter-persistent
ii  netfilter-persistent                  1.0.15                           all          boot-time loader for netfilter configuration

Kod: Zaznacz cały

mark@debian2:~$ update-alternatives --list iptables
/usr/sbin/iptables-legacy
/usr/sbin/iptables-nft
Po zaimplementowaniu tych regol:

Kod: Zaznacz cały

iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Załaduj moduły śledzące połączenia
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

conntrack -F

# Błędne pakiety – tablica mangle
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP 
iptables -t mangle -A PREROUTING -f -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited 

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable

# Drop everything else
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP
Blokuje dostep do Internetu.

Co zlego jest w tych regolach ? :mad:

Re: regoly iptables blokuja dostep do Internetu

: 30 września 2022, 13:57
autor: dedito
W regułce łańcucha output, brak akceptacji dla nowych połączeń:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Powinno być:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

Re: regoly iptables blokuja dostep do Internetu

: 01 października 2022, 10:00
autor: Matrixx
Z pelna swiadomoscia dalem DROP na OUTPUT poniewaz:
- zgodnie z definicja polityka domysla jest na ostatniej pozycji w lancuchu, czyli pakiety polaczenia ESTABLISHED powinny moc " wydostac sie" poprzez poprzedzajaca regole ESTABLISHED.
- W Internecie sa przyklady dzialajacych skryptow z domyslna polityka 3xDROP.
- Sam uzywalem takiego skrypta.
Mysle, ze tutaj jest mala niescislosc:
W regułce łańcucha output, brak akceptacji dla nowych połączeń:
Moim zdaniem powinno byc "ustanowionych" polaczen.
Nowe polaczenia to bardziej na INPUT.

Re: regoly iptables blokuja dostep do Internetu

: 01 października 2022, 10:16
autor: dedito
Zamiast teoretyzować, sprawdź na własnym firewallu.
Dawno nie bawiłem się regułkami iptables, poza tym to już historia, teraz trzeba się uczyć nftables.
Jak masz Debiana 10 lub nowszego to iptables i tak jest domyślnie konwertowane do nftables.
Różnie ta konwersja wychodzi, nie zawsze dobrze, co może mieś związek z tym twoim firewallem.
https://morfikov.github.io/post/migracj ... -debianie/
https://wiki.debian.org/nftables

Re: regoly iptables blokuja dostep do Internetu

: 01 października 2022, 15:05
autor: Matrixx
Zamiast teoretyzować, sprawdź na własnym firewallu.
Wlasnie dlatego szukam entuzjasty iptables, bo warto.
- nftables nie jest dojrzale "produkcyjnie" Podobnie jak cgroups.v2.
- piszac, ze konwersja jest zawodna, masz absolutna racje.
- Iptables ma opcje "legacy" co pozwala dzialac na najnowszych wersjach Debiana.
- Iptables ma teoretycznie ok 36 mln kombinacji polecen, jest szalenie elastyczne, jezeli tylko sie wie jak ...

Re: regoly iptables blokuja dostep do Internetu

: 01 października 2022, 15:30
autor: dedito
Z mojego punktu widzenia ... wątek traci sens.

Re: regoly iptables blokuja dostep do Internetu

: 01 października 2022, 18:01
autor: Matrixx
No ale gdyby np Morfik cos napisal to by mogl byc bardzo ciekawy.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl