AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

MacBook Neo

dnes 18:11 | IT novinky

Apple představil 13palcový MacBook Neo s čipem A18 Pro. V základní konfiguraci za 16 990 Kč.

Ladislav Hagara | Komentářů: 3

Ověřování věku na úrovni operačního systému

dnes 12:22 | Komunita

Kalifornský zákon AB 1043 platný od 1. ledna 2027 vyžaduje, aby operační systémy požadovaly po uživatelích věk nebo datum narození a skrze API poskytovaly aplikacím informaci, zda je uživatel mladší 13 let, má 13 až 16 let, má 16 až 18 let nebo má alespoň 18 let. Vývojáři linuxových distribucí řeší, co s tím (Ubuntu, Fedora, …).

Ladislav Hagara | Komentářů: 44

Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října

dnes 11:44 | Pozvánky

Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října v Praze v areálu ČVUT v Dejvicích na FIT. Čekají vás desítky přednášek, workshopy, stánky a setkání se spoustou chytrých lidí.

Petr Krčmář | Komentářů: 0

Slovní úloha: V kterém týdnu bude mít Chrome větší číslo verze než Firefox?

dnes 00:44 | Humor

Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 145. Aktuální verze Firefoxu je 148. Od září přejde Chrome na dvoutýdenní cyklus vydávání. V kterém týdnu bude mít Chrome větší číslo verze než Firefox? 😀

Ladislav Hagara | Komentářů: 1

Další novinky od Applu: čipy M5 Pro a M5 Max, …

včera 21:55 | IT novinky

Apple představil nové čipy M5 Pro a M5 Max, MacBook Pro s čipy M5 Pro a M5 Max, MacBook Air s čipem M5 a Studio Display a nový Studio Display XDR.

Ladislav Hagara | Komentářů: 4

Installfest 2026 - hlasování o přednáškách a workshopech

včera 13:44 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní Installfest, jenž proběhne o víkendu 28. a 29. března v Praze na Karlově náměstí 13.

Ladislav Hagara | Komentářů: 2

GIMP 3.2 RC3

včera 04:33 | Nová verze

Byla vydána (Mastodon, 𝕏) třetí RC verze GIMPu 3.2. Přehled novinek v oznámení o vydání. Podrobně v souboru NEWS na GitLabu.

Ladislav Hagara | Komentářů: 0

iPhone 17e a iPad Air s čipem M4

2.3. 21:44 | IT novinky

Apple představil iPhone 17e a iPad Air s čipem M4.

Ladislav Hagara | Komentářů: 17

Gram 1.0

2.3. 21:11 | Zajímavý software

Byla vydána verze 1.0 editoru kódů Gram. Jedná se o fork editoru Zed bez telemetrie a umělé inteligence.

Ladislav Hagara | Komentářů: 0

Oznámena spolupráce GrapheneOS s Motorolou

2.3. 20:33 | IT novinky

Byla oznámena spolupráce GrapheneOS s Motorolou. Podrobnosti v tiskové zprávě. GrapheneOS (Wikpedie) je varianta Androidu zaměřující se na bezpečnost a soukromí.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables - nefunkční konfigurace firewallu

Štítky: DHCP, DNS, firewally, input, Internet, iptables, konfigurace, LAN, NAT, OpenVPN, PC, politika, PPTP, pravidla, router, server, sítě, spojení, SSH, TCP, VoIP

Dotaz: iptables - nefunkční konfigurace firewallu

16.4.2012 21:56 Zopper | skóre: 15
iptables - nefunkční konfigurace firewallu

Přečteno: 444×

Odpovědět | Admin

Mám domácí server, který slouží i jako router s NATem, DHCP, DNS server... a snažím se na něm nastavit firewall. Seskládal jsem si tato pravidla, ale výsledné chování je jiné, než jsem čekal:

Ze serveru se nedostanu přes eth0 vůbec nikam (nebo spíš myslím, že zahodí všechny příchozí pakety, i když jsou určené pro něj).

Z jiných pc za serverem se ven dostane ICMP a DNS reques, ale protože DNS je tento server, tak pouze na IP adresy (nebo nacachované domény).

Politika má být taková, že ven se pouští všechno, ale příchozí (nová a zatím cílená jen na server) spojení projdou jen na konkrétních portech.

S iptables si moc netykám, takže ocením jakoukoliv radu (i upozornění na něco, co bych měl do firewallu přidat/předělat...)

Díky.

Síťová rozhraní:

eth0: WAN
všechna ostatní: LAN

firewall

# NAT je uz napevno nastaveny v iptables.conf 

# zakazeme vsechno z venku
iptables -A INPUT -i eth0  -j REJECT

# povoleni navazanych spojeni - pry by melo umoznit i DNS dotazy?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#----------------------------------------------------------------------------------
# povoleni konkretnich portu
#----------------------------------------------------------------------------------
iptables -N POVOLENO

iptables -A POVOLENO  -p ICMP -j ACCEPT

# Dalsi sluzby
iptables -A POVOLENO  -p tcp --dport 22 -m state --state NEW -j ACCEPT # ssh
iptables -A POVOLENO  -p udp --dport 88 -m state --state NEW -j ACCEPT # openvpn
iptables -A POVOLENO  -p tcp --dport 80 -m state --state NEW -j ACCEPT # http
iptables -A POVOLENO  -p tcp --dport 5060 -m state --state NEW -j ACCEPT # VOIP

# pptp
iptables -A POVOLENO  -p tcp --dport 47 -m state --state NEW -j ACCEPT
iptables -A POVOLENO  -p tcp --dport 1723 -m state --state NEW -j ACCEPT
#----------------------------------------------------------------------------------

iptables -A INPUT -i eth0 -p tcp -j POVOLENO
iptables -A FORWARD -i eth0 -p tcp -j POVOLENO

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Řešení dotazu:

Komentář #1 (ewew, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (JirkaK)

16.4.2012 22:44 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Skúšal si vynechať prvé pravidlo čo uvadzaš. Nezdalo sa ti divne, že máš v prvom pravidle veľa paketov a ostatné maju nuly ? Namiesto REJECT by som použil zmenu defaultnej politiky. iptables -P INPUT DROP Podobne to urobíš aj pre FORWARD, OUTPUT.

Pozri si tento link a nalistuj si kapitolu 5.14.3.2 Manual init.d configuration.

Root v linuxe : "Root povedal, linux vykona."

16.4.2012 22:50 JirkaK | skóre: 15 | blog:
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Přesně tak. Já jsem na svém serveru použil pro inspiraci (k plné spokojenosti) skript z http://www.petricek.cz/mpfw/ - teda samozřejmě se spoustou změn od doby, kdy jsem podle toho splácal první skript.

** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/

17.4.2012 10:12 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Díky oběma, jdu na úpravy, teď by to mohlo fungovat. :-)

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

17.4.2012 09:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Pravidla se v iptables vyhodnocují v pořadí, v jakém jsou uvedena. První pravidlo, které vyhoví, se uplatní, a tím zpracování končí. Takže když máte jako první v INPUT uvedeno pravidlo

iptables -A INPUT -i eth0  -j REJECT

Znemožníte tím veškerou příchozí komunikaci na router, veškerou odchozí TCP/IP komunikaci z routeru (nemohou přijít pakety s odpověďmi) a veškerou NATovanou TCP/IP komunikaci.

17.4.2012 10:12 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Díky, už je mi to jasné, přistupoval jsem k tomu přesně opačně. :-D

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Založit nové vlákno • Nahoru

Tiskni Sdílej: