LINUX.ORG.RU
ФорумGeneral

IPtables не пускает в нет!


0

0

Вот тут начитался одного из туториалов по iptables (огромный), и захотелось настроить его, но столкнулся с проблеммой блокировки инета при определённых условиях.
А именно при политике DROP цепочки INPUT при следующих правилах:

bash-2.05b# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- localhost anywhere udp spt:631
ACCEPT udp -- localhost anywhere udp dpt:631
ACCEPT tcp -- localhost anywhere tcp spt:631
ACCEPT tcp -- localhost anywhere tcp dpt:631
ACCEPT udp -- localhost anywhere udp spt:6000
ACCEPT udp -- localhost anywhere udp dpt:6000
ACCEPT tcp -- localhost anywhere tcp spt:6000
ACCEPT tcp -- localhost anywhere tcp dpt:6000
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:nntp
ACCEPT tcp -- anywhere anywhere tcp spt:www
ACCEPT tcp -- anywhere anywhere tcp spt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:pop3
ACCEPT tcp -- anywhere anywhere tcp spt:telnet
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT tcp -- anywhere anywhere tcp spt:nntp

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere


А вот при ACCEPT на INPUT и при таких правилах:

bash-2.05b# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- !localhost anywhere tcp dpt:6000
DROP tcp -- !localhost anywhere tcp dpt:631
DROP udp -- !localhost anywhere udp dpt:6000
DROP udp -- !localhost anywhere udp dpt:631
DROP icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Пускает.

Вопрос в том что эти наборы правил вроде как идентичны, но в инет пускает только второй блок. Просто хотелось закрыть всё и оставить только доступ основным сервисам, ну и закрыть доступ из вне к cupsd и X11, так на всякий пожарный. И столкнулся с такой штукой. Второй способ не устраивает тем, что если появится ещё что то то опять придётся его добавлять, а так один раз и навсегда. Может кто скажет какой нибудь способ реализовать это.

Заранее спасибо!!!

★★★★★

А кто будет DNS открывать?? udp/53

и правила абсолютно разные, хотя бы потому что в первом политика drop, а во втором accept

afunix
()

-notcp в иксах есть.
Оч. помогает.

И вроде мы это в faq включали.

jackill ★★★★★
()

А зачем тебе телнет?
И почему нет проверки на establish, connected и принадлежность пакетов (чтобы с внешнего ip под локальный не маскировались)?

У тебя правила бессмысленные.

jackill ★★★★★
()

>Вот тут начитался одного из туториалов по iptables

Не обижайся, но, похоже ты плохо умеешь читать.

В Iptables Tutorial всё разжёвано по самое некуда, и всё равно находятся люди, строящие подобные правила...

Don't get me wrong, просто удивительно всё это и странно...

bsh ★★★
()
Ответ на: комментарий от bsh

То что правила бессмысленные это я знаю, просто оный настраиваю руками впервые и закрытый нет был для меня немоного необычно. Про 53 на udp не знал - звиняюсь за невежество, но у меня было подозрение по этому поводу просто не знал какой порт идёт на DNS.

А может кто то кто юзает нет покажет примеры своих правил, буду балгдарен :)

cyclon ★★★★★
() автор топика
Ответ на: комментарий от cyclon

Когда я тебе писал об Iptables Tutorial я имел ввиду оное от Oskar Andreasson. В этом руководстве есть прекрасные и очень подробные примеры написания скриптов для запуска iptables. Не торопись с выходом в Нет, успеешь. Прочитай внимательно, и не пренебрегай Network Administrator Guide (похоже ты с сетями пока не на котроткой ноге). ТЫ РЕАЛЬНО РИСКУЕШЬ получит какую-нибудь гадость, которая за ТВОИ ДЕНЬГИ будет сканировать ВЕСЬ ИНТЕРНЕТ на предмет заражения всех хостов с дырами в защите. Я не шучу. 2 года назад я по легкомыслию такую штуку получил (думал да кому я на хрен нужен?). Результат - 1000 американских рублей за 2 выходных дня. Ссылки на эти документы на русском языке ты легко найдешь сам.

archont ★★★
()
Ответ на: комментарий от archont

Я бы тебе дал свои правила, но я их писал не сам, поэтому извини (автор против). Но они написаны на основании рекомендаций от Oskar Andreasson.

archont ★★★
()
Ответ на: комментарий от archont

>Когда я тебе писал об Iptables Tutorial я имел ввиду оное от Oskar Andreasson

Я кстати, тоже. Если не ошибаюсь, в сети есть перевод на русский даже. Только он немного староват (iptables 1.1.19) и новые фичи от netfilter (типа фильтрации по критерию owner) не описаны - но это можно найти в доках к современным версиям, главное, все принципы работы iptables там описаны отлично, имхо. Там и примеры правил есть, но всё же лучше, имхо, потратить время и разобраться как всё работает, и написать свои собственные правила...

bsh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General