Portál AbcLinuxu, 12. května 2025 09:11

Dotaz: iptables

30.1.2013 14:17 jnovacek | skóre: 22 | blog: NovLin
iptables
Přečteno: 302×
Odpovědět | Admin
je možné nějak zjednodušit následující:

# zakaz PROXY

iptables -A FORWARD -s 192.168.46.0/24 -p tcp --dport 3128 -j DROP

# povol celou firemni sit

iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT

# vse mimo moji lokalni sit zakaz

iptables -A FORWARD ! -d 192.168.46.0/24 -j DROP

můj počítač je v síti 192.168.46.0

Z této sítě potřebuji zakázat komunikaci ven z firmy. Zakážu PROXY, povolím další firemní podsítě a zakážu vše ostatní co není moje síť.

Předem děkuji Jirka
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

30.1.2013 14:38 j
Rozbalit Rozbalit vše Re: iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
A ses si uplne jistej tim co delas? Ja z tech pravidel vidim, ze spis nevis co delas. Ono je totiz celkem podstatna informace jako trebas iface ze kteryho/na ktery traffic miri, a takhle je to uplne nanic. Mimo jiny tim oteviras komplet celou sit libovolnymu provozu z netu.

Takze takovej zaklad je policy drop. Tim znemoznis veskerou komunikaci pres router (nikoli na nej, pokud je to na forwardu)

A pak bys mel pouze povolovat, to co chces povolit. Takze si nejdriv ujasni, co vlastne chces, pokud zakazat komunikaci "ven z firmy" tak to znamena prave a jen ten drop na policy. Pokud ale chces, aby fungoval trebas web, tak nejakou komunikaci ven proste povolit musis. A presne v tomhle okamziku ses takrikajic vprdeli, protoze otevrit jediny port = otevrit moznosti pro libovolnou komunikaci (staci se podivat, co dela v siti skype)

BTW: Vazne si myslis, ze proxy se da provozovat jen na tomhle portu? heh ...
30.1.2013 19:26 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: iptables
toto není kompletní konfigurace. Z netu to je zabezpečené, jsou tam i další pravidla. Potřebuji jen znemožnit z jedné podsítě komunikaci ven. Ven se dá dostat buď prostřednictvím PROXY nebo bez PROXY další linkou.
31.1.2013 08:22 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
toto není kompletní konfigurace

Což je problém, protože bez znalosti toho, jak vypadá zbytek a jak jsou do něj tato tři pravidla zasazena, nejde obecně posoudit, jak se to bude chovat. Pokud to například není celé v nějakém chainu, do kterého se dostanou pouze pakety jdoucí z určitého rozhraní na určité rozhraní, tak se to bude chovat dost podivně a téměř jistě to nebude dělat to, co si představujete.

30.1.2013 16:04 NN
Rozbalit Rozbalit vše Re: iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Protoze druhe pravidlo povoluje cely subnet, treti pravidlo se vubec neuplatni.
31.1.2013 07:01 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: iptables
je tam ! . Domníval jsem se, že to znamená, že vše co je mimo moji síť. Mohlo tam být DROP vše, protože komunikace v lokální síti je povolena skutečně druhým pravidlem. Pletu se?
31.1.2013 08:19 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
Ano, ta podmínka je zbytečná, protože pakety, které ji nesplňují, se k tomuto pravidlu vůbec nedostanou.
31.1.2013 10:06 NN
Rozbalit Rozbalit vše Re: iptables
Promin, nevidel jsem..
31.1.2013 14:24 j
Rozbalit Rozbalit vše Re: iptables
mno to posledni pravidlo rozhodne neudela to, jak je napsany, coz nemusi byt chyba funkce, ale v kazdym pripade je to chyba zapisu(chaos). Jde o to, ze v tom pravidle pred tim si povolil komunikaci na mnohem vetsi rozsah, nez kterej vyjimas ze zakazu. Tudiz to omezeni na /24 kdyz si predtim povolil /16 je ti tam nafigu, protoze ty pakety se na to vubec nedostanou.

A jak bylo receno, bez kontextu vubec nelze rict, co to bude nebo nebude delat.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.