LINUX.ORG.RU
ФорумAdmin

Вопрос по iptables


0

1

мои правила для iptables

root@posts:/etc/init.d# cat firewall 
#!/bin/bash
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#разрешаем доступ из сети на порты 21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий)
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 25,80,22,110,143,995,993,465 -j ACCEPT
#Разрешаем доступ из нет нета на 22 порт 
iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 22 -j ACCEPT

eth0 - lan,ppp0- мегафоновский модем со статическим ip

запускаю iptraf на ppp0

и вижу что с различных ip идёт соединение ко мне на 445 порт

Вопрос почему ? ведь для ppp0 уменя открыт только 22 !

★★

Последнее исправление: drac753 (всего исправлений: 1)

Ответ на: комментарий от uspen

вы это имели в виду ? Правила применяются 

root@posts:/etc/init.d# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            ctstate INVALID,NEW tcp flags:SYN,ACK/SYN,ACK reject-with icmp-port-unreachable 
DROP       tcp  --  anywhere             anywhere            ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            multiport dports smtp,www,ssh,pop3,imap2,pop3s,imaps,ssmtp 
ACCEPT     tcp  --  anywhere             anywhere            multiport dports ssh 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            

Chain fail2ban-ssh (0 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere
drac753 ★★
() автор топика 
Вопрос почему ? ведь для ppp0 уменя открыт только 22 !

#iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 22 -j ACCEPT

Где открыто, я вижу закоменчено. Ну идёт и что дальше.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

гмм действительно поправил. Так не отрывал же порт 445 для доступа из нета, как может на него идти соединение тогда ??

drac753 ★★
() автор топика
Ответ на: комментарий от drac753

во-первых, зачем в правилах DROP и REJECT при политике DROP?
во-вторых iptables-save и iptables -vL,
в-третьих, соединение именно устанавливается или просто идет обращение к порту?

uspen ★★★★★
()
Ответ на: комментарий от uspen

утянул из мана по iptables смысл насколько я понял в блокировке соединение не syn пакетом 

iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

устанавливается iptraf: 82.26.233.163:26060 мой ip:445

root@posts:/etc/fail2ban# iptables-save
# Generated by iptables-save v1.4.8 on Thu Oct 13 10:12:16 2011
*mangle
:PREROUTING ACCEPT [8714:863616]
:INPUT ACCEPT [2447:240069]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2410:319887]
:POSTROUTING ACCEPT [2410:319887]
COMMIT
# Completed on Thu Oct 13 10:12:16 2011
# Generated by iptables-save v1.4.8 on Thu Oct 13 10:12:16 2011
*nat
:PREROUTING ACCEPT [6490:641567]
:POSTROUTING ACCEPT [308:19224]
:OUTPUT ACCEPT [308:19224]
COMMIT
# Completed on Thu Oct 13 10:12:16 2011
# Generated by iptables-save v1.4.8 on Thu Oct 13 10:12:16 2011
*filter
:INPUT DROP [210:17396]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2368:316359]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i eth0 -p tcp -m multiport --dports 25,80,22,110,143,995,993,465 -j ACCEPT 
-A INPUT -i ppp0 -p tcp -m multiport --dports 22 -j ACCEPT 
-A OUTPUT -p icmp -j ACCEPT 
-A fail2ban-ssh -j RETURN 
COMMIT
# Completed on Thu Oct 13 10:12:16 2011



root@posts:/etc/fail2ban# iptables -vL
Chain INPUT (policy DROP 219 packets, 18008 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            ctstate INVALID,NEW tcp flags:SYN,ACK/SYN,ACK reject-with icmp-port-unreachable 
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN 
  641 78347 ACCEPT     all  --  lo     any     anywhere             anywhere            
 1660  151K ACCEPT     tcp  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
   22  1848 ACCEPT     icmp --  any    any     anywhere             anywhere            
   13   624 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            multiport dports smtp,www,ssh,pop3,imap2,pop3s,imaps,ssmtp 
    0     0 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            multiport dports ssh 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2477 packets, 327K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   44  3696 ACCEPT     icmp --  any    any     anywhere             anywhere            

Chain fail2ban-ssh (0 references)
 pkts bytes target     prot opt in     out     source               destination         
   60  4752 RETURN     all  --  any    any     anywhere             anywhere
drac753 ★★
() автор топика
Ответ на: комментарий от drac753

еще раз просмотрел iptraf собщение вида 

 
                    pakets bytes flag iface
 85.26.235.100:25323 2      104   S--  ppp0 
 мой ip :465         0        0    0   ppp0

Насколько я понял это не конект а попытка конекта ?

drac753 ★★
() автор топика
Ответ на: комментарий от anton_jugatsu

епта знач меня параноя одолела с утра , спасибо

drac753 ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin