Правила для IPTables?

0

0

ПО чему не идут ping`и на ранее не известные хосты (по которым соотвествие ip - dns еще не изветно) с такими вот правилами:

#! /bin/sh
#
#	Настройка firewall
#
case "$1" in
'stop')
 iptables -F
 ;;
'start')
 ext_ip='195.122.240.23/32'
 int_ip='192.168.1.1/32'
 local_network='192.168.1.0/24'
# разрешаем форвардить пакеты ...
  echo 1 > /proc/sys/net/ipv4/ip_forward
# устанавливаем политику для правил ...
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP
# сбрасываем все цепочки ...
  iptables -F
# разраешаем все icmp запросы
  iptables -A INPUT -p icmp -s 0/0 -j ACCEPT
# разрешить все с этого сервера
  iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
  iptables -A INPUT -s $int_ip -j ACCEPT
  iptables -A INPUT -s $ext_ip -j ACCEPT
# разрешить все из локальной сети
  iptables -A INPUT -s $local_network -j ACCEPT
# разрешить все что надо из InetNet`а
  for port in 21 22 25 53 80 110 123 143 389 3306 5222
  do
   iptables -A INPUT -s 0/0 -p tcp --dport $port -j ACCEPT
   iptables -A INPUT -s 0/0 -p udp --dport $port -j ACCEPT
  done
 ;;
*)
 echo "usage $0 start|stop"
esac

Кто скажет?
Что еще надо открыть???

Ссылка

←	печать из Unixware на Новеловский принтер

FC2 - глюки с клавиатурой

→

не идут ОТКУДА ? с самого файрволла ? из внутренней сетки ? и КУДА ? если хочешь чтобы тебе ответили - формулируй вопросы яснее...

sasha999 ★★★★
(29.06.04 11:03:06 MSD)

Ответ на: комментарий от sasha999 29.06.04 11:03:06 MSD

с сервера на котором работает это правило ....
  запрос на dns в resolve прописан как:
nameserver 127.0.0.1  - bind на серваке
nameserver  xxx.xxx.xxx.xxx - провайдера ...

galchyonok ★★
(29.06.04 11:09:49 MSD) автор топика

Я не уверен, а проверить сейчас не могу, но мне кажется дело в том, что DNS запросы идут по протоколу UDP и следовательно правило из OUTPUT accept all не работает для dns ответа, так tcp сесия не установлена и следовательно UDP пакеты от DNS сервера на INPUT дропаются.
добавь что то типа
iptables -I INPUT -p udp -s DNS_SERVER -j ACCEPT

arum ★★
(29.06.04 11:13:22 MSD)

Ответ на: комментарий от arum 29.06.04 11:13:22 MSD

Хотя я пользуюсь стандартным rc.firewoll из iptables tutorial и у меня dns запросы проходят, но может тому виной ip_conntrack

arum ★★
(29.06.04 11:20:40 MSD)

Ссылка

Ответ на: комментарий от galchyonok 29.06.04 11:09:49 MSD

самое простое - добавь iptables -A INPUT -j LOG и смотри что рубится. я подозреваю что что-то типа ответов внешних dns-ов которые идут к тебе вовсе не на udp/53 ... в-общем лень подробнее писать - включи логгинг и сам все увидишь :)

sasha999 ★★★★
(29.06.04 11:24:04 MSD)

Ответ на: комментарий от sasha999 29.06.04 11:24:04 MSD

Хммм ... 
 удивительные вещи случаются .....

 господа ...
 а что делать если видно вот что от dns`ов внешних:
SRC=195.98.50.210 DST=xxx.xxx.xxx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=TCP SPT=80 DPT=53155 WINDOW=6432 RES=0x00 ACK URGP=0 
SRC=216.239.38.10 DST=xxx.xxx.xxx.xx LEN=260 TOS=0x00 PREC=0x00 TTL=55 ID=54430 PROTO=UDP SPT=53 DPT=32768 LEN=240 
SRC=192.36.125.2 DST=xxx.xxx.xxx.xx LEN=170 TOS=0x00 PREC=0x00 TTL=49 ID=59376 PROTO=UDP SPT=53 DPT=32768 LEN=150
SRC=216.239.34.10 DST=xxx.xxx.xxx.xx LEN=249 TOS=0x00 PREC=0x00 TTL=55 ID=25055 PROTO=UDP SPT=53 DPT=32768 LEN=229
SRC=195.98.50.210 DST=xxx.xxx.xxx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=TCP SPT=80 DPT=53158 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
SRC=192.93.0.4 DST=xxx.xxx.xxx.xx LEN=170 TOS=0x00 PREC=0x00 TTL=15 ID=29458 PROTO=UDP SPT=53 DPT=32768 LEN=150

т.е. внешний dns мне накой-то кидает ответы на DPT 53155 32768 53158 32768

 что в таком случае делать???
 а как с помощью iptables разрештиь весь udp трафик с ip/mask на порты  выше 4000  ???? знак > как узказать можно??


иного выхода не вижу ..

galchyonok ★★
(29.06.04 11:42:16 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 11:42:16 MSD

или разшеить все udp с серверов tcp/udp с серверов провайдерских dns?

galchyonok ★★
(29.06.04 11:42:59 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 11:42:59 MSD

два варианта:
1. прочитать iptables-tutorial на предмет состояний ESTABLISHED и RELATED
и написать нормальные правила для iptables.
2. перенастроить свой named используя опцию query-source чтобы все запросы от
него шли с udp/53.

sasha999 ★★★★
(29.06.04 11:51:09 MSD)

Ответ на: комментарий от sasha999 29.06.04 11:51:09 MSD

named перенастроил ...
 углубился в изучение ESTABLISHED и RELATED

galchyonok ★★
(29.06.04 12:00:52 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 12:00:52 MSD

КСТАТИ ...
 а кто-нить знает как просканить порты  из Inet`а ... есть где-нить сервис такой .. по проверки безопасности ...???

galchyonok ★★
(29.06.04 12:06:33 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 12:06:33 MSD

попроси каво нить ...

по теме:

достаточно разрешить --sport 53 по протоколу udp в цепочке инпут для интерфейса, который смотрит в инэт, с состоянием эстэблишь, релэйтед ...

DEH ★
(29.06.04 12:46:12 MSD)

Ответ на: комментарий от DEH 29.06.04 12:46:12 MSD

Вы не поверите ...
dns я поченил ...
 но вот squid`а тоже не бегает ....
 вот вывод LOG`а от iptables:
SRC=212.48.153.194 DST=xxx.xxx.xxx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=25 DPT=60890 WINDOW=5792 RES=0x00 ACK SYN URGP=0
SRC=213.177.107.3 DST=xxx.xxx.xxx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=60 ID=49843 DF PROTO=TCP SPT=80 DPT=60785 WINDOW=6908 RES=0x00 ACK URGP=0
SRC=195.98.50.210 DST=xxx.xxx.xxx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=TCP SPT=80 DPT=60877 WINDOW=6432 RES=0x00 ACK URGP=0
SRC=212.92.150.54 DST=xxx.xxx.xxx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=0 DF PROTO=TCP SPT=80 DPT=60866 WINDOW=6444 RES=0x00 ACK URGP=0
SRC=212.92.150.54 DST=xxx.xxx.xxx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=0 DF PROTO=TCP SPT=80 DPT=60896 WINDOW=5792 RES=0x00 ACK SYN URGP=0

и тд ....
 все пользователи работают через squid висящий на порту 3128 ....

кто что скажет?

galchyonok ★★
(29.06.04 13:07:43 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 13:07:43 MSD

та же фигня только протокол тисири и потр срц 80 ... и забегает

DEH ★
(29.06.04 13:32:35 MSD)

Ответ на: комментарий от DEH 29.06.04 13:32:35 MSD

Вроде-бы не совсем верно так делать ...

galchyonok ★★
(29.06.04 13:49:13 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 13:49:13 MSD

почему ?

DEH ★
(29.06.04 14:00:06 MSD)

Ответ на: комментарий от DEH 29.06.04 14:00:06 MSD

Так как мона на любой порт послать данные, если ты посылаешь их с 80го ...  накой тоды firewall ?

galchyonok ★★
(29.06.04 15:27:49 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 15:27:49 MSD

а если при этом пользовать эстаблишед и рэлэйтед?

DEH ★
(29.06.04 15:47:56 MSD)

Ответ на: комментарий от DEH 29.06.04 15:47:56 MSD

хммм ....
 тоды наверное тяжело ...

galchyonok ★★
(29.06.04 16:21:02 MSD) автор топика

Ссылка

Ответ на: комментарий от DEH 29.06.04 15:47:56 MSD

Но ... почему только у меня такое всплывает???
 ведь у все остальных обычные правила .. и таких извтратов вроде как нет ...

galchyonok ★★
(29.06.04 16:22:06 MSD) автор топика

Ответ на: комментарий от galchyonok 29.06.04 16:22:06 MSD

Что такое "обычные правила"? Я, например, пользуюсь -m state --state ESTABLISHED,RELATED -j ACCEPT. Поэтому ничего и не "всплывает". Запрос ведь от любой программы по умолчанию может идти с любого высокого порта, и ответ прийдёт обратно на тот же порт. Отловить это, насколько я понимаю, можно только через ESTABLISHED,RELATED. А бороться иначе -- ни к чему не приведёт.

anonymous
(29.06.04 16:45:40 MSD)

Ссылка

Почитай, например, iptables-howto, попроси(например меня :) выслать нормальный(выверенный годами) rc.firewall, а потом напоить пивом :)

Deleted
(29.06.04 18:58:26 MSD)

Ответ на: комментарий от Deleted 29.06.04 18:58:26 MSD

>попроси(например меня :) выслать нормальный(выверенный годами) rc.firewall

А вот я бы с удовольствем почитал. С позволения автора :)

Пива не обещаю, ибо широка страна наша родная, но при случае... :)

fagot ★★★★★
(29.06.04 19:49:22 MSD)

Ссылка

Ответ на: комментарий от Deleted 29.06.04 18:58:26 MSD

Аналогично .. тоже б почитал ... но как с пывом быть не понятно ...

galchyonok ★★
(30.06.04 11:23:45 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	печать из Unixware на Новеловский принтер

Admin

FC2 - глюки с клавиатурой

→

Похожие темы