Настройка iptables.

0

1

Дано: eth0, браузер, торрентокачалка, i2p. Нужно: разрешить iptables общаться этим приложениям с интернетом, остальное блокировать. Делаю

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -p udp --dport 15971 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 80 -j ACCEPT

Сохраняю настройки, запускаю iptables и не могу выйти в интернет. И i2p жалуется на блокировку брандмауэром. Что я неправильно делаю?

Ссылка

←	Как научить iptables доверять программам?

php, include и \x00. баг или фича?

→

«INPUT - входящий трафик» * "--dport - порт назначения" = nil

hizel ★★★★★
(22.11.11 16:43:09 MSK)

Ссылка

дык для выхода в сеть вам нужно два порта, для браузера исходящий 80, и входящий, какой-то из диапазона 1024..65535. Куда вам данные-то пойдут?

~~drBatty~~ ★★
(22.11.11 16:43:58 MSK)

Ответ на: комментарий от drBatty 22.11.11 16:43:58 MSK

Как определить номер порта?

~~fragment~~
(22.11.11 17:01:39 MSK) автор топика

Ответ на: комментарий от fragment 22.11.11 17:01:39 MSK

к сожалению никак. Он выбирается случайным образом. Можете посмотреть # lsof -i

~~drBatty~~ ★★
(22.11.11 17:20:02 MSK)

Ответ на: комментарий от drBatty 22.11.11 17:20:02 MSK

Тогда открыть диапазон 1024-65535?

~~fragment~~
(22.11.11 17:55:36 MSK) автор топика

Ответ на: комментарий от fragment 22.11.11 17:55:36 MSK

ага открывать входящие из этого диапазона. И ещё нежелательно, что-бы демоны были запущены не нужные. Которые сеть слушают.

~~drBatty~~ ★★
(22.11.11 17:57:49 MSK)

Ссылка

Ответ на: комментарий от fragment 22.11.11 17:55:36 MSK

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT

iptables -A INPUT -i eth+ -p udp -m udp --dport 0:1023 -j DROP 
iptables -A INPUT -i eth+ -p tcp -m tcp --dport 0:1023 -j DROP 
iptables -A INPUT -i eth+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP

Остальное добавьте по своему вкусу. А зачем, кстати вы открываете 80 порт? У вас веб-сервер стоит и смотрит в инет?

no-such-file ★★★★★
(22.11.11 18:13:29 MSK)

Ответ на: комментарий от no-such-file 22.11.11 18:13:29 MSK

Благодарю, теперь хотя бы работает.

А зачем, кстати вы открываете 80 порт? У вас веб-сервер стоит и смотрит в инет?

Я запутался немного, теперь вроде начала понимать.

~~fragment~~
(22.11.11 18:27:07 MSK) автор топика

Спрошу уж тут сразу: что может значить такая строка в выводе netstat?

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp6       0      0 192.168.1.100:49951     [UNKNOWN]:12707         ESTABLISHED

~~fragment~~
(22.11.11 18:32:20 MSK) автор топика

Ответ на: комментарий от fragment 22.11.11 18:32:20 MSK

Это не баг, это фича - http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=453272

no-such-file ★★★★★
(22.11.11 18:57:17 MSK)

Ссылка

Ответ на: комментарий от fragment 22.11.11 18:27:07 MSK

а вот порт торрента можете открыть - качать лучше будет.

~~drBatty~~ ★★
(22.11.11 19:09:00 MSK)

Ответ на: комментарий от drBatty 22.11.11 19:09:00 MSK

Все порты торрента вроде за 1024-ым. А где найти список портов с соответствующим им сервисами? Чтобы заблокировать всякие пинги, whois и так далее.

~~fragment~~
(22.11.11 19:41:57 MSK) автор топика

Ответ на: комментарий от fragment 22.11.11 19:41:57 MSK

/etc/services

no-such-file ★★★★★
(22.11.11 19:46:21 MSK)

Ссылка

Ответ на: комментарий от fragment 22.11.11 19:41:57 MSK

>Все порты торрента вроде за 1024-ым.

я про входящий. Он в настройках. Ещё полезен входящий порт UDP для DHT. И если у вас роутер, их ещё и пробрасывать в нём надо.

А где найти список портов с соответствующим им сервисами? Чтобы заблокировать всякие пинги, whois и так далее.

/etc/services

И ещё я слышал от опытных админов фразу: «тем кто запрещает пинги надо отрывать яйца».

~~drBatty~~ ★★
(22.11.11 20:02:36 MSK)

Ответ на: комментарий от drBatty 22.11.11 20:02:36 MSK

> И если у вас роутер, их ещё и пробрасывать в нём надо.

Я ничего не пробрасываю. УМВР.

no-such-file ★★★★★
(22.11.11 20:45:55 MSK)

Ответ на: комментарий от no-such-file 22.11.11 20:45:55 MSK

А разгадка проста - UPnP.

no-such-file ★★★★★
(22.11.11 20:52:47 MSK)

Ответ на: комментарий от no-such-file 22.11.11 20:52:47 MSK

>А разгадка проста - UPnP.

оно не всегда корректно пробрасывает. Я предпочитаю ручками, так надёжнее.

Работает и без этого, но пиров меньше.

~~drBatty~~ ★★
(22.11.11 21:02:55 MSK)

Ссылка

Странно, что я первый, кто напишет


iptables -I INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

anton_jugatsu ★★★★
(24.11.11 10:13:13 MSK)

Ответ на: комментарий от drBatty 22.11.11 20:02:36 MSK

тем кто запрещает пинги надо отрывать яйца

угу. а то не пропинговать хост и в трассировки одни сиськи. поубывав бы :/

Pinkbyte ★★★★★
(03.12.11 16:05:49 MSK)

Ссылка

Ответ на: комментарий от anton_jugatsu 24.11.11 10:13:13 MSK

+100500

Pinkbyte ★★★★★
(03.12.11 16:06:43 MSK)

Ссылка

Ответ на: комментарий от anton_jugatsu 24.11.11 10:13:13 MSK

привет, К.О.

~~drBatty~~ ★★
(03.12.11 23:16:06 MSK)

Ответ на: комментарий от drBatty 03.12.11 23:16:06 MSK

И тебе здрасте.

anton_jugatsu ★★★★
(04.12.11 12:34:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как научить iptables доверять программам?

Security

php, include и \x00. баг или фича?

→

Похожие темы