abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:55 | Komunita

Pocket (dříve Read It Later) (Wikipedie) je oblíbená služba umožňující uložit si článek z webu na později. V červnu 2015 s vydáním Firefoxu 38.0.5 se do té doby doplněk Pocket stal integrovanou součásti Firefoxu, a to i přes odpor celé řady uživatelů tohoto webového prohlížeče. Mozilla po měsících ustoupila a z integrované součásti se stal opět doplněk. Včera bylo oznámeno, že Mozilla službu Pocket kupila (Mozilla Blog, Pocket Blog).

Ladislav Hagara | Komentářů: 0
včera 23:55 | Pozvánky

Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1. 3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!

… více »
xkucf03 | Komentářů: 0
včera 18:30 | Komunita

Jednodeskový počítač Raspberry Pi slaví již 5 let. Prodej byl spuštěn 29. února 2012. O víkendu proběhne v Cambridgi velká narozeninová party. Na YouTube bylo při této příležitosti zveřejněno video představující zajímavé projekty postavené na Raspberry Pi.

Ladislav Hagara | Komentářů: 0
včera 18:30 | Nová verze

Byla vydána verze 2017.1.1 svobodného multiplatformního leteckého simulátoru FlightGear. Kódový název a výchozí letiště této verze je Bergen. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0
včera 10:50 | Zajímavý software

Mozilla.cz informuje o dvou nových experimentálních funkcích v programu Firefox Test Pilot (zprávička). Snooze Tabs slouží k odkládání panelů na později. Pokud vám někdo pošle odkaz, ale vy nemáte čas si stránku hned přečíst, můžete si naplánovat otevření panelu na později. Stačí kliknout na tlačítko a vybrat, kdy chcete panel otevřít. Firefox panel schová a ve vybraný čas znovu otevře. Pulse umožňuje ohodnotit, jak dobře stránka funguje, např. jak rychle se ve Firefoxu načetla. Podle nasbíraných hodnocení pak bude Mozilla prohlížeč ladit.

Ladislav Hagara | Komentářů: 7
včera 02:00 | IT novinky

V Barceloně probíhá veletrh Mobile World Congress 2017. Nokia na něm například představila (360° video na YouTube) novou Nokii 3310 (YouTube). BlackBerry představilo BlackBerry KEYone (YouTube) s QWERTY klávesnicí. LG představilo LG G6 (YouTube). Huawei HUAWEI P10 a P10 Plus. Samsung představil tablet Galaxy Tab S3.

Ladislav Hagara | Komentářů: 1
26.2. 14:00 | Nová verze

Komunita kolem Linuxu From Scratch (LFS) vydala Linux Linux From Scratch 8.0 a Linux From Scratch 8.0 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází především s Glibc 2.25 a GCC 6.3.0. Současně bylo oznámeno vydání verze 8.0 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

Ladislav Hagara | Komentářů: 0
26.2. 11:11 | Nová verze

Byla vydána verze 0.10.0 webového prohlížeče qutebrowser (Wikipedie). Přehled novinek v příspěvku na blogu. Vývojáři qutebrowseru kladou důraz na ovladatelnost pomocí klávesnice a minimální GUI. Inspirovali se prohlížečem dwb a rozšířeními pro Firefox Vimperator a Pentadactyl. Prohlížeč qutebrowser je naprogramován v Pythonu a využívá PyQt5. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU GPL 3.

Ladislav Hagara | Komentářů: 34
25.2. 16:22 | Nová verze

Po pěti měsících od vydání Waylandu a Westonu 1.12.0 oznámil Bryce Harrington (Samsung) vydání Waylandu 1.13.0 a Westonu 2.0.0.

Ladislav Hagara | Komentářů: 7
24.2. 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 728 hlasů
 Komentářů: 69, poslední dnes 01:02
    Rozcestník

    Dotaz: Drop UDP portu v IPTABLES

    LFCIB avatar 27.6.2006 09:43 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Drop UDP portu v IPTABLES
    Přečteno: 195×
    Dobrý den, ve vedlejším dotazu jsem řešil problém s dropem tcp portu. Bylo mi porazeno, že se pravidla prochází řádek po řádku, tak jsem pravidla upravil a zákazy jsem dal nad povolení. Vše co dropuji v -p tcp normálně funguje. Ale -p udp vůbec. Na pořadí jsem si dal pozor, takže nevím kde je problém. Používám stejný zápis jako pro tcp akorát tcp vyměním za udp.

    Dle scanneru všechny udp projdou. Díky LFCIB

    Pravidla iptables:
    /sbin/depmod -a
    
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    /sbin/iptables -X
    /sbin/iptables -F INPUT
    /sbin/iptables -F OUTPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -t nat -X
    /sbin/iptables -t nat -F POSTROUTING
    /sbin/iptables -t nat -F PREROUTING
    /sbin/iptables -t nat -F OUTPUT
    
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
    
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 113 -j REJECT
    
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 67 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 68 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 88 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 111 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 138 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 162 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 514 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 749 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 1433 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 1900 -j DROP
    
    /sbin/iptables -A OUTPUT -o lo -j ACCEPT
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    /sbin/iptables -A INPUT -p icmp -j ACCEPT
    /sbin/iptables -A FORWARD -p icmp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p udp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p tcp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT
    Výpis z iptables:
    gw:~# iptables -L
    Chain INPUT (policy DROP)
    target     prot opt source               destination
    DROP       tcp  --  anywhere             anywhere            tcp dpt:ftp
    DROP       tcp  --  anywhere             anywhere            tcp dpt:www
    DROP       tcp  --  anywhere             anywhere            tcp dpt:sunrpc
    REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject                                             -with icmp-port-unreachable
    DROP       udp  --  anywhere             anywhere            udp dpt:bootpc
    DROP       udp  --  anywhere             anywhere            udp dpt:kerberos
    DROP       udp  --  anywhere             anywhere            udp dpt:sunrpc
    DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm                                             
    DROP       udp  --  anywhere             anywhere            udp dpt:snmp-trap
    DROP       udp  --  anywhere             anywhere            udp dpt:syslog
    DROP       udp  --  anywhere             anywhere            udp dpt:749
    DROP       udp  --  anywhere             anywhere            udp dpt:ms-sql-s
    DROP       udp  --  anywhere             anywhere            udp dpt:1900
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB                                             LISHED
    ACCEPT     icmp --  anywhere             anywhere
    ACCEPT     udp  --  anywhere             anywhere
    ACCEPT     tcp  --  anywhere             anywhere
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB                                             LISHED
    ACCEPT     icmp --  anywhere             anywhere
    ACCEPT     udp  --  anywhere             anywhere
    ACCEPT     tcp  --  anywhere             anywhere
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

    Odpovědi

    27.6.2006 10:03 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Co znamená "dle scanneru všechny UDP projdou"? Pokud používáte např. tcpdump, ten se k síťovému provozu dostane mnohem dřív, než se ke slovu dostanou iptables, takže tam samozřejmě uvidíte veškerý příchozí provoz.
    LFCIB avatar 27.6.2006 10:18 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Dobrý den, díky za reakci. Mám v síti jiné PC a na něm mám scanner portů (GFI LanGuard). Z něj dělám scan "serveru" po vnitřní síti na (eth0 na serveru). Distribuce na serveru je GNU/Linux Debian (Sagre). Dle scanu se mi ozývají všechny udp porty co jsem jmenovitě DROPnul (nejdříve jsem udělal scan a dle něj jsem chtěl dropnout to co je vidět). Ještě bych mohl nějak definovat cílovou adresu paketů na adresu serveru a dropovat všechny udp místo jmenovitě porty. Ale tak jak to mám by to přece mělo fungovat?

    Děkuji

    LFCIB
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 11:16 Roman DAVID | skóre: 24 | Brno
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Myslim, ze vam to funguje. To, ze scanner ukazuje, ze porty jsou otevrene je IMHO dano vlastnosti UDP protokolu - UDP je connectionless, takze strana, ktera packet odeslala se nedozvi, ze paket byl DROPnuty.
    27.6.2006 10:40 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Pravidla iptables:
    /sbin/depmod -a
    
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    /sbin/iptables -X
    /sbin/iptables -F INPUT
    /sbin/iptables -F OUTPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -t nat -X
    /sbin/iptables -t nat -F POSTROUTING
    /sbin/iptables -t nat -F PREROUTING
    /sbin/iptables -t nat -F OUTPUT
    
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
    
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 113 -j REJECT
    
    /sbin/iptables -A OUTPUT -o lo -j ACCEPT
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    /sbin/iptables -A INPUT -p icmp -j ACCEPT
    /sbin/iptables -A FORWARD -p icmp -j ACCEPT
    
    
    Následující zrušit a povolit pouze ty služby co chcete používat...a né že povolíte všechno.
    /sbin/iptables -A INPUT -i eth0 -p udp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p tcp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT
    
    LFCIB avatar 27.6.2006 10:52 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Dobrý den, díky. Server je jako brána do internetu (je za ní více uživatelů) a chtěl bych používat všechno, nechtěl bych vypisovat pro každou službu o které ani nevím na kterém portu běží. Myslím tím že nemůžu pátrat po všech programech co komunikují přes internet jaké potřebují odchozí porty. Když to povoluji jen na eth0 tak by to nemělo přece vadit. Pouze chci aby se zahazovaly určité pakety co jsou adresované přímo na bránu. Ty co jsou ven ať projdou. Je to nesmysl nebo je to nebezpečné? Pokud se peravidla prochází postupně, mělo by mi to fungovat, jelikož na pravidlo které to povolí nedojde. Tak mi to vysvětlil člověk z vedlejší diskuse. Otázka je jestli to tak skutečně je, ale u tcp paketů to funguje tak jak chci, proč tedy né u udp? Díky
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 11:21 ...... | skóre: 41 | blog: ...
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    No je to hnus velebnosti. Takže první si nastavíš politiku DROP
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
    a pak tam nastavuješ v chainu INPUT opět na DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 113 -j REJECT
    
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 67 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 68 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 88 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 111 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 138 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 162 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 514 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 749 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 1433 -j DROP
    /sbin/iptables -A INPUT -i eth0 -p udp --dport 1900 -j DROP
    PROČ?????

    No a v zápětí celou tuhle politiku DROP popřeš a všechno to povolíš
    /sbin/iptables -A INPUT -p icmp -j ACCEPT
    /sbin/iptables -A FORWARD -p icmp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p udp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p tcp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT
    Není to trošku proti zdravému rozumu? Můžeš mi vysvětlit co tím chtěl básník říci? Vůbec jsem nepochopil o co jsi se snažil. Podle mě je to celé totálně blbě. Smazal bych to a začal po nějakém studiu jak to vlastně funguje znovu.
    27.6.2006 11:43 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Řekl bych, že tady není problém v pochopení použití iptables/netfilteru, ale především v tom, že tazatel pořádně neví, co vlastně chce. Ale s tím mu fórum moc nepomůže…
    LFCIB avatar 27.6.2006 11:54 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Dobrá pokusím se to napsat ještě jinak.

    Chci, aby když mi někdo bude scanovat porty na serveru, tzn. pakety budou směřovány PŘÍMO na IP serveru tzn. na eth0, aby prostě nic neviděl(nebo jen to co chci), ale zároveň aby to fungovalo jako router s NATem do internetu. Já v tom nevidím jinej problém než že mi nefunguje drop udp paketů - tcp pakety jsou normálně dropovány a všechno ostatní funguje dle mé představy jak jsem již popsal.
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 12:04 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Fajn, v tom případě to děláte zbytečně složitě. Nedropujte vybraných pár portů, nastavte na DROP politiku a povolte naopak jen těch pár portů, které chcete, aby byly zvenku přístupné.
    LFCIB avatar 27.6.2006 11:43 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    1. nastavím INPUT DROP pro všechna rozhraní

    2. na eth0 zakážu to co tam nechci

    3. v zápětí povolím ostatní a popřu to pouze na eth0. To co spadne do dropu tak se nedostane k ACCEPT - to říkám na základě informace, že se pravidla prochází postupně.

    Takže podle logiky a informací co mám (možná mi unikla nějaká souvislost) by to mělo být ok a taky je, až na to že se mi ukazují udp porty ve scanu. Jinak to normálně funguje, takže to asi totálně blbě nebude.

    Děkuji
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 12:10 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Ok chces si hlavne ochranit server/router ve forwardu delej co chces.... na inputu zakaz vsechno co explicitne nedovolujes .... /sbin/iptables -t filter -P INPUT DROP

    povol vsechno co portebujes provozovat napr. #chci http pro sit na strane sitovky eth0 .... /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT # PING A PODOBNE /sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT

    Povol spojeni ktera jiz existuji /sbin/iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    k dropovani udp... vypis si iptables -t filter -L INPUT -nv a koukni se jestli to dropuje nejaky packety
    Vždyť jsou to jen jedničky a nuly ...
    LFCIB avatar 27.6.2006 12:40 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Děkuji za rady. Scanner hlásí konkrétní udp porty. Dole je výpis z iptables kde je vidět krásně, že to bylo dropnuté(2x scan a 2x výpis), ale zároveň je dole v ACCEPT že to bylo přijmuté, jak se to k tomu pravidlu dostane? Ke scanneru se to prostě nějak dostane. Udělám to jak radíte a nebudu tuto záhadu dál řešit.

    Děkuji zatim všem, napíšu jestli se to vyřešilo.
    gw:~# iptables -t filter -L INPUT -nv
    Chain INPUT (policy DROP 78 packets, 27414 bytes)
     pkts bytes target     prot opt in     out     source               destination
       36  1728 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
       12   576 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       15   720 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:111
       12   576 REJECT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 reject-with icmp-port-unreachable
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:68
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:88
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:111
       33  6567 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:162
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:514
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:749
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1433
        6   276 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
     1285  173K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
       24  1296 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
      156  8460 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
     1527 73296 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    gw:~# iptables -t filter -L INPUT -nv
    Chain INPUT (policy DROP 78 packets, 27414 bytes)
     pkts bytes target     prot opt in     out     source               destination
       42  2016 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
       14   672 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       17   816 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:111
       14   672 REJECT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 reject-with icmp-port-unreachable
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:68
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:88
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:111
       34  6613 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:162
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:514
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:749
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1433
        7   322 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
     1296  174K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
       28  1512 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
      180  9714 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
     1781 85488 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    gw:~#
    
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 12:47 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    To jsou prostě UDP datagramy na zbývající porty kromě těch několika vybraných, které jste zakázal.
    LFCIB avatar 27.6.2006 12:52 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    :-) pravda. Ovšem ty dropnuté porty mi ukázal scanner - to je to divné. Ale už to funguje tak jak má viz.konfigurace dole, takže už to nebudu pitvat.

    Děkuji
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    LFCIB avatar 27.6.2006 12:48 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Tak už to funguje. Díky
    /sbin/depmod -a
    
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    /sbin/iptables -X
    /sbin/iptables -F INPUT
    /sbin/iptables -F OUTPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -t nat -X
    /sbin/iptables -t nat -F POSTROUTING
    /sbin/iptables -t nat -F PREROUTING
    /sbin/iptables -t nat -F OUTPUT
    
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
    
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    /sbin/iptables -A INPUT -p icmp -j ACCEPT
    /sbin/iptables -A FORWARD -p icmp -j ACCEPT
    
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    
    /sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 13:02 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    To čištění na začátku bych napsal raději takto:
      iptables -F
      iptables -X
      iptables -t nat -F
      iptables -t nat -X
    
    Pokud totiž bude existovat nějaký neprázdný uživatelský řetězec, samotné 'iptables -X' ho nesmaže. Nebo chcete-li být opravdu důsledný, můžete použít
      for t in `cat /proc/net/ip_tables_names`; do
        iptables -t "$t" -F
        iptables -t "$t" -X
      done
    
    Maškarádovací pravidlo by bylo vhodné upravit tak, aby se vztahovalo jen na pakety se "závadnou" zdrojovou adresou, tj. adresou z rozsahu vnitřní sítě. Sice si s tím většinou netfilter poradí i tak, ale jednou třeba přidáte DMZ a budete se divit, proč to zlobí.

    U ICMP by asi bylo vhodné omezit frekvenci pomocí limit. Ve FORWARD by ho asi bylo vhodné povolit jen zevnitř ven.

    LFCIB avatar 27.6.2006 13:45 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Děkuji. Zkusil jsem to nastavit. Můžete to prosím zkontrolovat?

    Mám pak ještě nějaké dotazy, ale založím na to jinou diskusi.

    Díky LFCIB
    /sbin/depmod -a
    
    # moduly
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    # zapneme smerovani
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    # cisticka pravidel
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -t nat -X
    
    # nastaveni implicitni politiky
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
    
    # maskarada pro vnitrni rozsah adres
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.1/255.255.255.0 -j MASQUERADE
    
    # loopback
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    
    # probihajici a navazana spojeni povolime
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # icmp pakety povolime
    /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    
    # povolime ssh a indiana
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
    
    # z vnitrni site do netu povolime
    /sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT
    /sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 13:54 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Ta podmínka '-s 192.168.0.1/255.255.255.0' se asi příkazu iptables nebude moc líbit, nejspíš to budete muset zapsat korektně jako '-s 192.168.0.0/255.255.255.0' nebo '-s 192.168.0.0/24'. Limit na ICMP bych asi dal vyšší, takhle to začne ICMP message zahazovat už v případě, že si dva uživatelé dají současně ping někam ven. Jinak to vypadá docela dobře.
    LFCIB avatar 27.6.2006 13:58 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    :-) ano, měla tam být adresa sítě samozřejmě 192.168.0.0 - to byl překlep. Limit na ping dám tedy 20. Díky moc
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    27.6.2006 16:32 ...... | skóre: 41 | blog: ...
    Rozbalit Rozbalit vše Re: Drop UDP portu v IPTABLES
    Myslím, že kdyby jsi použil firewallu od Petříčka, tak máš po starostech a stačí ti doladit pouze detaily. Myslím, že jeho firewall je dostatečně vychytaný a myslí tam na většinu možných situací.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.