iptables с нуля

0

0

Здравствуйте!

Есть вот такие настройки файэрвола:

:PREROUTING ACCEPT [92:6320]

:POSTROUTING ACCEPT [9109:650299]

:OUTPUT ACCEPT [9323:664211]

-A PREROUTING -s 10.0.0.1/32 -i ppp0 -j ACCEPT

COMMIT

# Completed on Sun Aug 15 22:15:40 2010

# Generated by iptables-save v1.4.7 on Sun Aug 15 22:15:40 2010

*filter

:INPUT DROP [26:1522]

:FORWARD DROP [0:0]

:OUTPUT DROP [24915:20237562]

-A INPUT -m state --state INVALID -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -p tcp -m tcp --sport 22 --dport 22 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 53 --dport 53 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 443 --dport 443 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 110 --dport 110 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 25 --dport 25 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 113 --dport 113 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 10000 -j ACCEPT

-A OUTPUT -o lo -p tcp -m tcp --sport 22 --dport 22 -j ACCEPT

COMMIT

--------------------------------------------------------------

...но в интернет всё равно не пускает. По идее DNS, DHCP, HTTP разрешено.. чего еще не хватает в таблице OUTPUT?? Проблема именно в ней. Что еще нужно разрешить?

Спасиб!

Да.. можете в 2-ух словах рассказать, что делает параметр "-m tcp"?

Ссылка

←	named не работает с windows xp

Cluster трудности в настройке

→

Батюшки. Где ты это взял? Зачем эти sport? Выкинь нафиг.

thesis ★★★★★
(16.08.10 01:30:58 MSD)

И да, DNS - он UDPшный обычно.

thesis ★★★★★
(16.08.10 01:32:53 MSD)

Ответ на: комментарий от thesis 16.08.10 01:30:58 MSD

Я хочу разрешить только то, что нужно. А без ничего и точно работать не будет! я подправил: iptables -P OUTPUT DROP

Alexoy ★
(16.08.10 01:33:00 MSD) автор топика

Ответ на: комментарий от thesis 16.08.10 01:32:53 MSD

именно у меня не установлен DNS.. Как правельно написать, чтоб к нему можно было обращаться?

Alexoy ★
(16.08.10 01:35:45 MSD) автор топика

Ссылка

Ответ на: комментарий от Alexoy 16.08.10 01:33:00 MSD

Выкинь все --sport и -m tcp и дай, что получилось.

thesis ★★★★★
(16.08.10 01:37:10 MSD)

Ответ на: комментарий от thesis 16.08.10 01:37:10 MSD

Вот так оставил:

:INPUT DROP [26:1522]

:FORWARD DROP [0:0]

:OUTPUT DROP [24915:20237562]

-A INPUT -m state --state INVALID -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -p tcp --dport 22 -j ACCEPT

-A OUTPUT -p tcp --dport 53 -j ACCEPT

-A OUTPUT -p tcp --dport 67 -j ACCEPT

-A OUTPUT -p tcp --dport 443 -j ACCEPT

-A OUTPUT -p tcp --dport 80 -j ACCEPT

-A OUTPUT -p tcp --dport 110 -j ACCEPT

-A OUTPUT -p tcp --dport 25 -j ACCEPT

-A OUTPUT -p tcp --dport 113 -j ACCEPT

-A OUTPUT -p tcp --sport 10000 -j ACCEPT

-A OUTPUT -o lo -p tcp --dport 22 -j ACCEPT

---------------------------------------------

работает. но это наверное довольно общий случай?! хотелось бы пожеще контролироваль порты исходящих пакетов! как --sport тогда быть?

Alexoy ★
(16.08.10 01:46:10 MSD) автор топика

Ответ на: комментарий от Alexoy 16.08.10 01:46:10 MSD

Всё же не.. поработает-поработает и отключается интернет с такими настройками

Alexoy ★
(16.08.10 01:50:11 MSD) автор топика

Ссылка

Ответ на: комментарий от Alexoy 16.08.10 01:46:10 MSD

На --sport забей и всё. В общем случае исходящего соединения это будет случайный непривилегированный порт. О частных случаях смотри уже применимо к конкретному сервису. Кстати, заставь свой фаер нормально работать с обоими режимами FTP - поимеешь некий начальный опыт.

thesis ★★★★★
(16.08.10 01:52:09 MSD)

Ответ на: комментарий от thesis 16.08.10 01:52:09 MSD

> Кстати, заставь свой фаер нормально работать с обоими режимами FTP

это относится к тому, что интернет пропадает?

О частных случаях смотри уже применимо к конкретному сервису.

Ну HTTP.. не 80-ый?? что еще ему надо кроме DNS?

Alexoy ★
(16.08.10 01:56:23 MSD) автор топика

Ответ на: комментарий от Alexoy 16.08.10 01:56:23 MSD

это относится к тому, что интернет пропадает?

Нет, это относится к пониманию основ. Полезная штука.

Таки разреши на 53й порт UDP, а не TCP. А я спать пойду.

thesis ★★★★★
(16.08.10 02:07:35 MSD)

Ссылка

если ты пропускаешь через этот компьютер интернет, то тебе не хватает масакарада.

~~alikhantara~~ ★
(16.08.10 08:27:21 MSD)

Ссылка

Это чё за суровый такой фаервол, где настраиваешь хоть? На сервере или десктопе?

anton_jugatsu ★★★★
(16.08.10 12:45:07 MSD)

Ответ на: комментарий от anton_jugatsu 16.08.10 12:45:07 MSD

Это я для себя. Ноутбук. Для опыта поэкспериментировать :)

Компьютер один.. ничего никуда дальше пропускать не требуется. Всё себе

Alexoy ★
(16.08.10 19:33:18 MSD) автор топика

Ответ на: комментарий от Alexoy 16.08.10 19:33:18 MSD

Ну тогда вот этого более чем достаточно

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Хотя, наверняка, ведь за роутером каким-нибудь сидишь :)

А эсперименты с какой целью ставятся?

anton_jugatsu ★★★★
(16.08.10 21:19:13 MSD)

Ответ на: комментарий от anton_jugatsu 16.08.10 21:19:13 MSD

ага.. Линксис.. свой. А это имеет значение за чем?

Ну тогда вот этого более чем достаточно...

Этого не достаточно. т.к. то, что должно выходить и куда я тоже хочу контролировать

Про надобность -m tcp кто-нибудь раскрыл бы тайну

Alexoy ★
(16.08.10 21:38:15 MSD) автор топика

Ответ на: комментарий от Alexoy 16.08.10 21:38:15 MSD

Про надобность -m tcp кто-нибудь раскрыл бы тайну

/* some explanations (after four different bugs
                                 * in 3 different releases): If we encounter a
                                 * parameter, that has not been parsed yet,
                                 * it's not an option of an explicitly loaded
                                 * match or a target.  However, we support
                                 * implicit loading of the protocol match
                                 * extension.  '-p tcp' means 'l4 proto 6' and
                                 * at the same time 'load tcp protocol match on
                                 * demand if we specify --dport'.
                                 *
                                 * To make this work, we need to make sure:
                                 * - the parameter has not been parsed by
                                 *   a match (m above)
                                 * - a protocol has been specified
                                 * - the protocol extension has not been
                                 *   loaded yet, or is loaded and unused
                                 *   [think of iptables-restore!]
                                 * - the protocol extension can be successively
                                 *   loaded
                                 */

anton_jugatsu ★★★★
(17.08.10 10:07:28 MSD)

Ссылка

Ответ на: комментарий от Alexoy 16.08.10 21:38:15 MSD

Исходящий порт выбирается случайно. И вообще смысл тебе --sport, логичнее если от тебя и будет кто в интернет ломится, то --dport и фильтруй, либо ты допишешь ядро и специально для тебя будут программы запускаться и обращаться с определенным тобой --sport. Если реально такой дотошный, то через owner пускай. Соответственно, чаще это броузер, запускай от другого юзера: и безопаснее и контролировать сможешь.

uspen ★★★★★
(18.08.10 23:18:49 MSD)

Ответ на: комментарий от uspen 18.08.10 23:18:49 MSD

> то через owner пускай

Можно поподробней про это побольше? Я только учусь

Alexoy ★
(19.08.10 21:04:18 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	named не работает с windows xp

Admin

Cluster трудности в настройке

→

Похожие темы