ipbtables открыть несколько портов

0

1

Всем привет. Помогите пожалуйста как на vps сервере открыть порты только 80,81,21,1500,27015,27016,5555 и остальные закрыть? так как другие порты мне не нужны прописал там на vps сервере команду iptables -P INPUT DROP что я потом вообще туда попасть не могу кроме как перезагрузить VPS сам поясню на 80 и 81 работает там apache2 и nginx связка стоит. 1500 ispmanger lite работает 27015 и 27016 сервер cs 1.6 5555 самп сервер там работает

Ссылка

←	Администраторы группы (gshadow)

BAREOS Windows Storage

→

А зачем закрывать порты, на которых и так ничего не висит?

Lavos ★★★★★
(29.04.14 15:56:19 MSK)

Ответ на: комментарий от Lavos 29.04.14 15:56:19 MSK

то что думаю если перекрыть порты все кроме этих , меньше атаки будет на мой сервер=)

radikradik
(29.04.14 15:57:11 MSK) автор топика

Ссылка

Сначала прописать разрешающие правила, потом поменять полиси на дроп для всех остальных пакетов:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
...
iptables -I INPUT -p tcp --dport 5555 -j ACCEPT
iptables -P INPUT DROP

ddos3 ★
(29.04.14 15:58:06 MSK)

Ответ на: комментарий от ddos3 29.04.14 15:58:06 MSK

а на 1500 и т.п порты?так же писать?

radikradik
(29.04.14 16:00:38 MSK) автор топика

Ответ на: комментарий от ddos3 29.04.14 15:58:06 MSK

Ну и не забыть

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

:) иначе не будут проходить ответы на исходящие соединения.

ddos3 ★
(29.04.14 16:01:43 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:01:43 MSK

блин))) я уже прописал iptables -P INPUT DROP и все вырубилось:( ща перезагружу напиши пожалуйста с 1 строчки и до конца чтобы я потом мог сам туда зайти на эти порты))

radikradik
(29.04.14 16:02:56 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 16:00:38 MSK

Да, --dport <номер порта>.
Для udp поменять -p tcp на -p udp

ddos3 ★
(29.04.14 16:03:07 MSK)

Ссылка

Ответ на: комментарий от radikradik 29.04.14 16:02:56 MSK

iptables -F INPUT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 1500 -j ACCEPT
iptables -I INPUT -p tcp --dport 27015 -j ACCEPT
iptables -I INPUT -p tcp --dport 27016 -j ACCEPT
iptables -I INPUT -p tcp --dport 5555 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

ddos3 ★
(29.04.14 16:05:06 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:05:06 MSK

при вводе команды

root@:~# iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

ааа че делать?:(

radikradik
(29.04.14 16:07:51 MSK) автор топика

Ответ на: комментарий от ddos3 29.04.14 16:05:06 MSK

ааа помоги пожалуйста:)

radikradik
(29.04.14 16:12:40 MSK) автор топика

Ссылка

Ответ на: комментарий от radikradik 29.04.14 16:07:51 MSK

Странно, у меня все работает. А такая ошибка появляется, если неправильно написать название цепочки (INPUT). Что говорит iptables -nvL?

ddos3 ★
(29.04.14 16:18:07 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:18:07 MSK

вот

Chain INPUT (policy ACCEPT 1387 packets, 308K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 1387  308K ISPMGR     all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 1648 packets, 731K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 1648  731K ISPMGR     all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain ISPMGR (2 references)
 pkts bytes target     prot opt in     out     source               destination

radikradik
(29.04.14 16:20:09 MSK) автор топика

Ответ на: комментарий от ddos3 29.04.14 16:18:07 MSK

может еще есть варианты?)) а то после команды ввода iptables -P INPUT DROP у меня все сразу становится не отвечает и ип в том же числе приходится перезагружать чтобы правила эти сбились)

radikradik
(29.04.14 16:21:08 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 16:20:09 MSK

Это сразу после перезагрузки, или после
iptables -F INPUT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 1500 -j ACCEPT
iptables -I INPUT -p tcp --dport 27015 -j ACCEPT
iptables -I INPUT -p tcp --dport 27016 -j ACCEPT
iptables -I INPUT -p tcp --dport 5555 -j ACCEPT
?

ddos3 ★
(29.04.14 16:22:27 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:22:27 MSK

это норм все вводится, работает. а Вот если iptables -P INPUT DROP то все конец всему:( слетает все и нужно перезагружаться

radikradik
(29.04.14 16:23:36 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 16:23:36 MSK

Если это все нормально ввелось, то вывод iptables -nvL должен быть другой. А пока что он выглядит так, как будто этих команд и не было.

ddos3 ★
(29.04.14 16:25:55 MSK)

Ответ на: комментарий от radikradik 29.04.14 16:21:08 MSK

а то после команды ввода iptables -P INPUT DROP у меня все сразу становится

До ввода этой команды говоришь

iptables -I INPUT -p tcp --dport 22 -m comment --comment SSH -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

— и ничего не «становится».

dexpl ★★★★★
(29.04.14 16:26:20 MSK)

в скрипт запихни и запусти и порты какие тебе нужны сам впиши

iptables -P INPUT DROP
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,80,3000,8000,55555 -j ACCEPT

порты свои сам впишешь

ttyv0_o
(29.04.14 16:30:43 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:25:55 MSK

вот

Chain INPUT (policy ACCEPT 94 packets, 750K bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5555
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:27016
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:27015
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1500
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
  100 14272 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:81
  133 13498 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 435 packets, 1201K bytes)
 pkts bytes target     prot opt in     out     source               destination 
21724   14M ISPMGR     all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain ISPMGR (1 references)
 pkts bytes target     prot opt in     out     source               destination

radikradik
(29.04.14 16:37:51 MSK) автор топика

Ответ на: комментарий от ttyv0_o 29.04.14 16:30:43 MSK

вот что в твоем скрипте мне выводит

./ip.sh
iptables: Bad policy name. Run `dmesg' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.8: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.

radikradik
(29.04.14 16:40:24 MSK) автор топика

Ссылка

Ответ на: комментарий от dexpl 29.04.14 16:26:20 MSK

вот что пишет

 iptables -I INPUT -p tcp --dport 22 -m comment --comment SSH -j ACCEPT
iptables: No chain/target/match by that name.
root@~# iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

radikradik
(29.04.14 16:42:59 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 16:42:59 MSK

helppp!!

radikradik
(29.04.14 16:46:21 MSK) автор топика

Ссылка

Ответ на: комментарий от radikradik 29.04.14 16:37:51 MSK

А iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT все еще не принимает?
И, кстати, ssh на каком порту висит?

ddos3 ★
(29.04.14 16:54:30 MSK)

Ответ на: комментарий от ddos3 29.04.14 16:54:30 MSK

да не принимает:(( , ssh на 22 порту)

radikradik
(29.04.14 16:55:16 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 16:55:16 MSK

сборка стоит debian 6 x32bit

radikradik
(29.04.14 16:56:16 MSK) автор топика

Ссылка

Ответ на: комментарий от radikradik 29.04.14 16:55:16 MSK

ssh на 22 порту

тогда нужно добавить еще iptables -I INPUT -p tcp --dport 22 -j ACCEPT перед сменой полиси.
И еще неплохо бы добавить iptables -I INPUT -i lo -j ACCEPT

не принимает

это очень странно, должен принимать. Даже не знаю, что тут посоветовать.

ddos3 ★
(29.04.14 17:08:47 MSK)

Ответ на: комментарий от ddos3 29.04.14 17:08:47 MSK

ураа спасибо работает=)

radikradik
(29.04.14 17:13:02 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:13:02 MSK

хотя беда, при запуске сервера нечего не работает:(( а вот сайты работают

radikradik
(29.04.14 17:15:50 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:13:02 MSK

Что, приняло state наконец?
Если все работает, то можешь теперь эти команды положить в скрипт и засунуть в автозагрузку, чтобы после рестарта сразу все блокировалось как надо.
и покажи еще раз iptables -nvL на всякий случай

ddos3 ★
(29.04.14 17:15:52 MSK)

Ответ на: комментарий от radikradik 29.04.14 17:15:50 MSK

у меня просто на vps идут 2 ип 1.ип на сайты 2. ип на сервера ну как раз и основной ип не работает почему-то

radikradik
(29.04.14 17:17:06 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:17:06 MSK

и так же по порту 1500 не работает ispmanger lite :(

radikradik
(29.04.14 17:19:06 MSK) автор топика

Ссылка

Ответ на: комментарий от ddos3 29.04.14 17:15:52 MSK

Chain INPUT (policy DROP 699 packets, 33865 bytes)
 pkts bytes target     prot opt in     out     source               destination 
  868  174K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
  196 15736 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5555
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:27016
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:27015
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1500
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
  238 47501 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:81
  840  198K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 1203 packets, 249K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 6913 2368K ISPMGR     all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain ISPMGR (1 references)
 pkts bytes target     prot opt in     out     source               destination

он как бы теперь работает=)) ну в ping ип не определяет и сервера не могу запустить:(( как быть? и так же в ispmanger lite по порту 1500 не заходит((

radikradik
(29.04.14 17:24:03 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:24:03 MSK

Чтобы все заработало, нужно как-то заставить его принять iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT (этого правила я в таблице не вижу). Без этого не будут работать исходящие соединения с самого сервера, что может приводить к разным отказам.
Причин, почему это правило у вас не принимается, я придумать не могу. Может в dmesg что-нибудь будет, но вряд ли.

ddos3 ★
(29.04.14 17:30:51 MSK)

Ответ на: комментарий от ddos3 29.04.14 17:30:51 MSK

:( а в поддержки если спросить там могут помочь?

radikradik
(29.04.14 17:33:00 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:33:00 MSK

Думаю, могут.

ddos3 ★
(29.04.14 17:33:24 MSK)

Ответ на: комментарий от ddos3 29.04.14 17:33:24 MSK

спасибо, сейчас спрошу у них тогда может реально помогут))) спасибо большое еще раз) сейчас все запишу себе

radikradik
(29.04.14 17:34:51 MSK) автор топика

Ссылка

Ответ на: комментарий от ddos3 29.04.14 17:30:51 MSK

это если что в скрипт все

iptables -F INPUT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 1500 -j ACCEPT
iptables -I INPUT -p tcp --dport 27015 -j ACCEPT
iptables -I INPUT -p tcp --dport 27016 -j ACCEPT
iptables -I INPUT -p tcp --dport 5555 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
iptables -P INPUT DROP

radikradik
(29.04.14 17:35:48 MSK) автор топика

Ответ на: комментарий от radikradik 29.04.14 17:35:48 MSK

да

ddos3 ★
(29.04.14 17:37:43 MSK)

Ответ на: комментарий от ddos3 29.04.14 17:37:43 MSK

спасибо=)

radikradik
(29.04.14 17:38:14 MSK) автор топика

Ссылка

Попробуй вместо

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

написать

iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Сейчас критерий state считается устаревшим, вместо него рекомендуют использовать conntrack

anonymous
(30.04.14 14:08:22 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Администраторы группы (gshadow)

Admin

BAREOS Windows Storage

→

Похожие темы