Portál AbcLinuxu, 11. května 2025 20:37

Dotaz: iptables prikaz

9.9.2005 09:38 ip
iptables prikaz
Přečteno: 147×
Odpovědět | Admin
Dobry den, poradi mi nekdo proc tohle nefunguje: 
 iptables -P INPUT DROP
 iptables -A INPUT --dport 22 -j ACCEPT
 iptables -A INPUT -j DROP

 ssh nekdo@server
 ...
 ... a nic
Znam dobre bsd packet filter, a tam rules v podobnem duchu funguji bez problemu.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

9.9.2005 09:41 secido
Rozbalit Rozbalit vše Re: proc to nefunguje
Odpovědět | | Sbalit | Link | Blokovat | Admin
Skvely nadpis. O co ti vlastne ide? INPUT a dport?
9.9.2005 13:10 ip
Rozbalit Rozbalit vše Re: proc to nefunguje
Super, nevedel jsem ze vstupujici pakety nemaji v tcp headeru cilovy port.
9.9.2005 13:43 secido
Rozbalit Rozbalit vše Re: proc to nefunguje
Asi sa chces prihlasovat na server zvonka, ak som spravne pochopil a chces povolit len ssh. 
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Musi chodit! Teda malo by :-).
9.9.2005 11:14 Kadži | skóre: 14
Rozbalit Rozbalit vše Re: iptables prikaz
Odpovědět | | Sbalit | Link | Blokovat | Admin
Myslím, že tam něco chybí: 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
9.9.2005 13:11 ip
Rozbalit Rozbalit vše Re: iptables prikaz
trosku jsem se upsal, ale ani tak to nefunguje. Holt se asi vratim k BSD.
9.9.2005 13:13 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables prikaz
Pokud nemáte v úmyslu vyvinout trochu vlastního úsilí k identifikaci problému a k tomu, abyste nám ho popsal, bude to tak možná lepší…
9.9.2005 13:19 ip
Rozbalit Rozbalit vše Re: iptables prikaz
Problem je jednoduchy a mel jsem za to ze z predchoziho snadno pochopitelny. Potrebuju blokovat veskerou prichozi komunikaci krome ssh. Problem je, ze pokud u vyse uvedeneho prikazu pouziju '--dport 22' tak mi zablokuje vse.

tj.

iptables -A INPUT -p tcp --dport 22 -j ACCEPT -> nefunguje iptables -A INPUT -p tcp -j ACCEPT -> funguje ale takove pravidlo je na nic.

v bsd bez problemu

pass in from any port > 1024 to my_ip_addr port = 22 block in from any to any
9.9.2005 13:27 Petr Jelínek | skóre: 17 | blog: Vyprovokovanej | Praha
Rozbalit Rozbalit vše Re: iptables prikaz
Co přidat -i <rozhrani>? Nepomohlo by to?
Nemám rád NVidii!
9.9.2005 13:33 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables prikaz
Ach jo.

1. A to je celá vaše konfigurace? Jak vypadá OUTPUT? Nepovolujete komunikaci po lokální smyčce, případně na dalších rozhraních?

2. "nefunguje to" je velmi vágní popis problému. Co sednout a podívat se, co vlastně nefunguje? Tj. zda přijdou nějaké pakety, jestli odejde odpověď, jestli něco zapíše sshd do logu (nejlépe s -d), co napíše 'ssh -v', atd.

3. Jak už jsem napsal, prostě zkuste izolovat a identifikovat problém a pořádně tu popsat, co jste dělal a jak se to chová. S výkřiky typu "vono to nefunguje, jdu k Oskarovi" vám těžko někdo pomůže, nehledě na to, že budí dojem, že ani pomoci nechcete, spíš si jen postěžovat.

9.9.2005 13:47 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: iptables prikaz
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdravim

1) Nemas tam povoleny RELATED,ESTABLISHED.

Sshd prijme na portu 22 pozadavek, odesle klientovi echo ze komunikaci presouva na port xyz aby 22 uvolnil pro dalsi prichozi spojeni a port xyz mas co? Zakazanej.

2) Nedropujes nahodou i OUTPUT?

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
9.9.2005 13:51 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables prikaz
Pokud není správná vaše hypotéza 2, pak by nemělo vadit ani to, co uvádíte v 1. Tedy aspoň ne k tomu, aby se na ten počítač šlo přihlásit pomocí SSH. Jen by tam asi byla nepříjemná prodleva při přihlašování kvůli neúspěšnému pokusu sshd o reverzní lookup klienta.
9.9.2005 13:59 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables prikaz
Sshd prijme na portu 22 pozadavek, odesle klientovi echo ze komunikaci presouva na port xyz aby 22 uvolnil pro dalsi prichozi spojeni a port xyz mas co?

To myslíte vážně???

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.