Portál AbcLinuxu, 24. říjen 2019 03:34


www.AutoDoc.Cz

Dotaz: iptables na vstupe vsetko povoli

22.8.2018 08:25 jany2 | skóre: 29 | blog: jany_blog
iptables na vstupe vsetko povoli
Přečteno: 392×
Odpovědět | Admin
spravil som si jednoduchy iptables a spustil som ho cez skript (v debiane)
#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -N VPN-INPUT
iptables -A INPUT -i tun0 -j VPN-INPUT
iptables -A VPN-INPUT -p tcp -m multiport --dports 15000,16000 -j ACCEPT
iptables -A VPN-INPUT -s 10.8.0.103,10.8.0.104 -j ACCEPT
iptables -A VPN-INPUT -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --fragment -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p ICMP -j DROP
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 15000,16000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -p tcp --dport 10000 -j ACCEPT
Ked si vypisem iptables, tak mam tam
Chain INPUT (policy DROP)
target     prot opt source               destination         
VPN-INPUT  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       icmp -f  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed
DROP       icmp --  anywhere             anywhere            
ACCEPT     tcp  --  192.168.1.2          anywhere             tcp dpt:ssh
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp dpt:ftp ctstate NEW,ESTABLISHED
ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp dpt:ftp-data ctstate ESTABLISHED
ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp spts:1024:65535 dpts:1024:65535 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports 15000,16000
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:openvpn
ACCEPT     tcp  --  192.168.1.2          anywhere             tcp dpt:10000

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain VPN-INPUT (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             multiport dports 15000.16000
ACCEPT     all  --  10.8.0.103           anywhere            
ACCEPT     all  --  10.8.0.104           anywhere            
DROP       all  --  anywhere             anywhere        
Znepokojuje ma riadok 4 v retazci input
ACCEPT     all  --  anywhere             anywhere 
ktory hovori, povol vsetko vsetkym. Okial sa to tam vzalo ??
upozornujem, ze v linuxe som vecny zaciatocnik ...

Řešení dotazu:


Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

22.8.2018 08:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
Odpovědět | | Sbalit | Link | Blokovat | Admin

Já tam vidím

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

což odpovídá tomu pravidlu, které jste si tam jako čtvrté přidal.

22.8.2018 09:09 jany2 | skóre: 29 | blog: jany_blog
Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
pocital som aj z riadkom kde je retazec input (preto to bol riadok 4).
Ale pravidlo som uviedol
ACCEPT     all  --  anywhere             anywhere            
Ale je to ako pise Max, je to localhost, len som dal blbo vypisat pravidla (aby som mal v tom mensi chaos). Cize vsetko je OK
upozornujem, ze v linuxe som vecny zaciatocnik ...
Řešení 1× (Filip Jirsák)
22.8.2018 09:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
pocital som aj z riadkom kde je retazec input (preto to bol riadok 4)

No jo, já jsem holt zvyklý brát čísla podle toho, co ukazuje --line-numbers

len som dal blbo vypisat pravidla (aby som mal v tom mensi chaos)

IMHO je lepší si zafixovat "iptables -nvL" jako idiom. Situací, kdy má smysl nepoužít "-n", je málo a těch, kdy má smysl vynechat "-v" ještě méně (dost možná žádná).

Řešení 1× (jany2 (tazatel))
Max avatar 22.8.2018 08:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pokud myslíš ten řádek hned po VPN-INPUT, tak je to jasné, jen si špatně vypisuješ pravidla. Pro výpis pravidel používej toto :
iptables -nL -v
iptables -t nat -nL -v
...
Pak ten čtvrtý řádek ve výpisu ukáže, že to je all pro loopback komunikaci.
Pokud čtvrtým řádkem myslíš čtvrté pravidlo, tak tam je RELATED,ESTABLISHED, což znamená, že to povolí komunikaci u navázaných spojení. Když někam pošleš dotaz, tak to něco ti odpoví. Odpověď jde na dohodnutý port někde na x tisícátém, který je jako všechny ostatní zablokován. Toto pravidlo zařídí, že ti ta odpověď dorazí a port je povolen jen pro toto navázané spojení.
Zdar Max
Měl jsem sen ... :(
6.9.2018 11:59 macnux
Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pravidla jsou důležitá. Zkontrolujte tento článek a dozvíte se více o firewall iptables

$ iptables -I INPUT 3 -i eth1 -p udp -j ACCEPT

$ iptables -I INPUT 4 -i eth1 -p udp --dport 80 -j DROP

Zde platí, že první pravidlo přijme provoz, druhá nezmizí to, co již bylo přijato.

Pozdravy,

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.