LINUX.ORG.RU
решено ФорумAdmin

не срабатывают правила iptables

 , ,


0

1

Не пойму в чем дело, до астера проходят и инвайты и запросы на регистрацию

iptables -L -n -v –line-numbers

Chain INPUT (policy DROP 226 packets, 18643 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
2      599 39932 ACCEPT     all  --  *      *       178.45.0.0/16        0.0.0.0/0            /* home */
3        5  2962 ACCEPT     all  --  *      *       81.22.1.1      0.0.0.0/0            /* office */

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 555 packets, 123K bytes)
num   pkts bytes target     prot opt in     out     source               destination

При запуске системы проставляются такие правила

#!/bin/sh
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 178.45.0.0/16 -j ACCEPT -m comment --comment "home"
iptables -A INPUT -s 81.22.1.1 -j ACCEPT -m comment --comment "office"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

и после всего этого, проходят инвайты до астера, как такое может быть))

sngrep

      ^Idx Method     SIP From                  SIP To                    Msgs  Source                 Destination
│ [ ] 14   REGISTER   9774@ip_astera        9774@ip_astera        1     185.108.106.250:56924  ip_astera:5060
│ [ ] 15   REGISTER   8226@ip_astera        8226@ip_astera        1     185.108.106.250:51935  ip_astera:5060
│ [ ] 16   SUBSCRIBE  101@ip_astera         101@ip_astera         2     ip_office:5060     ip_astera:5060
│ [ ] 17   INVITE     8401@ip_astera        000441902933818@51.38.131 12    167.114.17.187:51076   ip_astera:5060

CentOS 3.10.0-1062.12.1.el7.x86_64 GNU/Linux

Ответ: правила срабатывают, только в sngrep как и в tcpdump отображаются все запросы которые приходя ДО того как начнет срабатывать iptables

5 0 0 DROP all  — * * 185.108.0.0/16 0.0.0.0/0

Тут указано, что под это правило не попадают ваши регистрирующиеся. Счетчики по 0.

Дайте угадаю, FreePBX и блеклист из интерфейса?

Aborigen1020 ()
Последнее исправление: Aborigen1020 (всего исправлений: 2)

еще что-то помню, что sngrep показывал пакет, который пришел на интерфейс, даже не смотря что он был отброшен фаерволом. Давно что-то такое слышал/читал/видел.

У вас кол-во сообщений не изменяется для конкретной сессии в register? По идее должна быть каждый раз новая сессия, и кол-во попыток регистрации расти не должны для такого забаненного.

Aborigen1020 ()
Ответ на: комментарий от Aborigen1020

делаю следующее fail2ban-client stop все правила удаляются, далее вручную на чистый iptables разрешаю всё со своего айпи iptables -A INPUT -s MYIP -j ACCEPT iptables -A OUTPUT -d MYIP -j ACCEPT потом запрещаю всё iptables -P INPUT DROP iptables -P OUTPUT DROP при выводе команды iptables -n -L -v –line-numbers

Chain INPUT (policy DROP 2 packets, 438 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       28  2380 ACCEPT     all  --  *      *       my.ip        0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 6 packets, 1416 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       17  1872 ACCEPT     all  --  *      *       0.0.0.0/0            my.ip 

не отображаются правила drop all, как такое может быть??

lexx633 ()
Ответ на: комментарий от lexx633

не отображаются правила drop all

1) iptables -P — это не правила, это политики (policy)
2) вполне себе отображаются:

Chain INPUT (policy DROP 2 packets, 438 bytes)
...
Chain OUTPUT (policy DROP 6 packets, 1416 bytes)
...

bormant ★★★★★ ()
Ответ на: комментарий от bormant

и даже при таких правилах и политике до sngrep (астера) проходят запросы на регистрацию и инвайты с левых айпи хотя было 1 правило - разрешать только мне и 1 политика запрещать всё.

lexx633 ()