Вопрос по цели конкретного правила iptables

0

1

Зачем админы моего сервера сделали данное правило ?

-A FORWARD -s IP моего домашнего интернета/32 -j DROP

В input блокировки этого IP нет, по ssh, ftp захожу - всё нормально. С почтовым сервером с этого IP работаю - всё нормально.

Не могу понять смысл этого ограничения ?

Ссылка

←	Самая простая система обнаружения вторжения

Self Encrypting Drives - Chain load OS

→

Форвард это что-то с маршрутизацией, может хотят чтобы ты мог только на сервер заходить?
Попробуй пингануть соседние компьютеры.

torvn77 ★★★★★
(27.11.18 12:09:35 MSK)

Ответ на: комментарий от torvn77 27.11.18 12:09:35 MSK

Зайти по ssh с этого IP дома и в терминале сделать ping 8.8.8.8 например - так ?

suffix ★★
(27.11.18 12:14:31 MSK) автор топика

IP моего домашнего интернета

https://s14-eu5.startpage.com/cgi-bin/serveimage?url=http://t0.gstatic.com/im...

anonymous
(27.11.18 12:21:18 MSK)

Ответ на: комментарий от anonymous 27.11.18 12:21:18 MSK

Непонятно объяснил ?

Попробую подробнее:

1. Есть сервер у хостера, который поддерживают админы мной нанятые 2. Есть у меня дома интернет от Билайн 3. Есть вышеуказанное правило в iptables на этом сервере которые эти админы зачем-то сделали. Где «IP моего домашнего интернета» это IP который Билайн выдал для домашнего интернета.

Не могу понять цель этого праила.

suffix ★★
(27.11.18 12:26:09 MSK) автор топика

Ответ на: комментарий от suffix 27.11.18 12:14:31 MSK

Нет, набирать надо компы или с компов которые стоят за этой цепочкой.

torvn77 ★★★★★
(27.11.18 12:29:32 MSK)

Ответ на: комментарий от suffix 27.11.18 12:26:09 MSK

Просто сделай и выложи...

ip a
curl ipinfo.io/ip

И ip в правилах iptables. Реальные можешь заменить на любые, главное, чтобы соответствие было между ними.

anonymous
(27.11.18 12:31:31 MSK)

Ответ на: комментарий от torvn77 27.11.18 12:29:32 MSK

Там нет никакой цепочки - чуть выше я более подробно описал ситуацию. Виноват - в первом сообщении наверное путанно написал.

suffix ★★
(27.11.18 12:31:55 MSK) автор топика

Ответ на: комментарий от suffix 27.11.18 12:31:55 MSK

*-A FORWARD* указывает цепочку.
Вообще погугли iptables -A FORWARD

torvn77 ★★★★★
(27.11.18 12:41:29 MSK)

Ответ на: комментарий от anonymous 27.11.18 12:31:31 MSK

[root@mail ~]# ip a                                                                                                                                            
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000                                                                    
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00                                                                                                      
    inet 127.0.0.1/8 scope host lo                                                                                                                             
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 ::1/128 scope host                                                                                                                                   
       valid_lft forever preferred_lft forever                                                                                                                 
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000                                                                  
    link/ether xx:xx:xx:xx:xx:10 brd ff:ff:ff:ff:ff:ff                                                                                                         
    inet xxx.xxx.xxx.215/32 brd xxx.xxx.xxx.215 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet xxx.xxx.xxx.213/16 brd xxx.xxx.xxx.255 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet xxx.xxx.xxx.233/32 brd xxx.xxx.xxx.233 scope global eno1                                                                                              
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 xxxx:xxxx:x:xx::2/64 scope global                                                                                                                    
       valid_lft forever preferred_lft forever                                                                                                                 
    inet6 xxxx::xxx:xxxx:xxxx:b110/64 scope link                                                                                                               
       valid_lft forever preferred_lft forever                                                                                                                 
3: eno2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000                                                                          
    link/ether xx:xx:xx:xx:xx:11 brd ff:ff:ff:ff:ff:ff                                                                                                         
[root@mail ~]# curl ipinfo.io/ip                                                                                                                               
xxx.xxx.xxx.213

В iptables кроме IP забанненых fail2ban одно правило что в первом сообщении приводил:

-A FORWARD -s ХХ.ХХХ.ХХ.61/32 -j DROP

suffix ★★
(27.11.18 12:58:55 MSK) автор топика

Ссылка

Ответ на: комментарий от torvn77 27.11.18 12:41:29 MSK

Я читал - так этом же и дело что нет никаких цепочек.

И странно почему IP домашнего подключения только ? Я на сервер и с телефона и с работы захожу - этих то IP в правилах iptables нет.

suffix ★★
(27.11.18 13:08:56 MSK) автор топика

Ответ на: комментарий от suffix 27.11.18 13:08:56 MSK

Может оно осталось от чегото и его просто забыли удалить?

А вообще гадать о смысле правила без просмотра всех цепочек дело безаолезное.

torvn77 ★★★★★
(27.11.18 13:14:54 MSK)
Последнее исправление: torvn77 27.11.18 13:15:59 MSK (всего исправлений: 1)

Ответ на: комментарий от suffix 27.11.18 13:08:56 MSK

Я читал - так этом же и дело что нет никаких цепочек.

Цепочка в iptables это исходное понятие, даже если ты удалишь из iptables всё то у тебя всё равно останутся вшитые дефолтные цепочки.

Их не может не быть и вообще, все настройки iptables храняться внутри цепочек.

В общем марш читать мануальник.

torvn77 ★★★★★
(27.11.18 13:19:00 MSK)
Последнее исправление: torvn77 27.11.18 13:20:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от torvn77 27.11.18 13:14:54 MSK

Может оно осталось от чегото и его просто забыли удалить?

Блин, наверное так и есть.

Ну и фиг с ним - а админов спросить стесняюсь - и так наверное меня ламером считают (что правда) за мои вопросы тупые периодические :)

suffix ★★
(27.11.18 13:20:00 MSK) автор топика

Ссылка

FORWARD - цепочка, в которой находятся правила для маршрутизации (перенаправления пакетов).

Есть смысл выложить полный список цепочки для полноты картины, но и если в двух словах:

если бы была цепочка INPUT вместо FORWARD - у вас бы не было доступа к серверу (если конечно правило в нужном порядке стоит).

Тк там FORWARD, то при маршрутизации (перенаправлении) пакетов с IP VPS (вашей т.е.) куда-либо еще - ваш сервер откажет вам в этом.

momi
(28.11.18 00:39:37 MSK)

Ответ на: комментарий от momi 28.11.18 00:39:37 MSK

http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-fir...

momi
(28.11.18 00:40:51 MSK)

Ответ на: комментарий от momi 28.11.18 00:40:51 MSK

Да удалил уже просто это правило :)

suffix ★★
(28.11.18 22:32:53 MSK) автор топика

Ответ на: комментарий от suffix 28.11.18 22:32:53 MSK

Да удалил уже просто это правило :)

LOL.

FORWARD - это когда пакет появился извне и идёт вовне, а не создан (OUTPUT) или предназначен для (INPUT) локальной системы. Иначе говоря, не должно быть ситуации, когда пакет имеет в качестве адреса отправителя твой IP, но каким-то образом оказался создан не твоей системой.

Поэтому правило

-A FORWARD -s IP моего домашнего интернета/32 -j DROP

это такая защита от спуфинга. Не надо его удалять, если не понимаешь, что творишь.

ivlad ★★★★★
(29.11.18 05:14:05 MSK)

Ответ на: комментарий от ivlad 29.11.18 05:14:05 MSK

1. Я на сервер (ssh, ftp, ispmanager, админка сайта) захожу как из дома так и с мобильного провайдера с телефона, так и с работы - однако правило только для ip домашнего интернета. 2. Но Вы меня напугали - спросил админов. Оказывается год назад они тестировали супер-защиту и когда я дома htaccess на сайте правил она меня заблокировала везде. Когда я им написал что на сайт попасть не могу они правило в input убрали а в forward просто забыли :)

Так уважаемый torvn77 оказался прав а Вам не стоит умных слов про спуфинг писать если не понимаете что на самом деле произошло :)

suffix ★★
(29.11.18 09:13:21 MSK) автор топика