ReSQL.ru
     
powered by simpleCommunicator - 2.0.49     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Борьба с iptables
9 сообщений из 9, страница 1 из 1
Борьба с iptables
    #32492688
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
Как правильно сконфигурировать iptables, чтобы было возможно установить соединение с внешним интерфейсом своей же машины с какого-то неопределённого порта этого же самого интерфейса при использовании политики DROP на INPUT и OUTPUT-цепочках? Сейчас политика такая:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
Chain INPUT (policy DROP)
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp   --  192.168.0.9          192.168.0.1        tcp dpt:22
 
ACCEPT     tcp   --  0.0.0.0/0            192.168.0.1        tcp dpt:5050
 
ACCEPT     tcp   --  0.0.0.0/0            192.168.0.1        tcp dpt:1521
 

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:22
 
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:5050
 
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:1521
 
ACCEPT     tcp   --  192.168.0.1          192.168.0.1        tcp dpt:1521


При попытке соединения с этой машины (192.168.0.1) на неё же на порт 1521 в netstat видно следующее

Код: plaintext
1.
2.
tcp         0        0   192  .168  .0  .1  :1521          0  .0  .0  .0 :*               LISTEN
tcp         0        1   192  .168  .0  .1  :32852         192  .168  .0  .1  :1521         SYN_SENT


и соединение не проходит. Вот зе фак?
...
Рейтинг: 0 / 0
22.04.2004, 18:06
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32492881
Фотография Yet another cat
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Yet another cat
Участник
А чего это у тебя Chain INPUT 2 раза встречается в листинге? Это опечатка или как?
...
Рейтинг: 0 / 0
22.04.2004, 20:29
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32492887
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
Опечатка. Из буфера 2 раза вставил, до конца не подчистил :)
...
Рейтинг: 0 / 0
22.04.2004, 20:42
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32492949
Tiv
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Tiv
Гость
Может туплю, но может и поможет
Код: plaintext
iptables -A INPUT -p tcp -s  192  .168  .0  .1  --sport  1521  -d  192  .168  .0  .1  -j ACCEPT
...
Рейтинг: 0 / 0
22.04.2004, 23:07
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32493050
Фотография Yet another cat
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Yet another cat
Участник
С утра подумал. Присоединяюсь к предыдущему посту. Нет правила, позволяющего принять ответ с 1521-го порта на любой порт.

А вообще в целях диагностики можно было в input/output цепях последними поставить правила, которые пакеты в лог записывают. Сразу бы понял, что дропается. А потом эти правила можно убрать.
=====
Не дождетесь!
...
Рейтинг: 0 / 0
23.04.2004, 07:16
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32493156
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
Не помогает. Аналогично не получается, например, приssh-иться с этой машины на саму себя (добавил input-правило для 22-го порта аналогично предложенному Tiv). В логе видно вот что:
Код: plaintext
1.
Apr  23   08  :18  :01  localhost kernel: iptablesIN= OUT=lo SRC =192  .168  .0  .1  DST =192  .168  .0  .1  LEN =60  TOS=0x00 PREC=0x00 TTL =64  ID =0  DF PROTO=TCP SPT =32773  DPT =22  WINDOW =32767  RES=0x00 SYN URGP =0

Добавлял журналирование следующим образом:
Код: plaintext
1.
2.
3.
4.
# iptables -A INPUT -p tcp -j LOG  --log-prefix iptables
 
# iptables -A OUTPUT -p tcp -j LOG  --log-prefix iptables
...
Рейтинг: 0 / 0
23.04.2004, 09:21
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32493798
Tiv
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Tiv
Гость
1 Не вижу разрешения на вход пакетов на 22 порт с локальной машины, если пост 1 актуален.

2 Позволю расширить вопрос.
2.1 Не правильней ли будет разрешить весь трафик с 192.168.0.1 к 127.0.0.1 и наоборот.
2.2 Не правильнее ли разрешить весь исходяшьй трафик, или это всетаки повредит безопасности.
...
Рейтинг: 0 / 0
23.04.2004, 12:43
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32494900
Фотография nex
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
nex
Участник
1. Если нету юзверов, которым надо закрыть доступ на какие-то сервисы извне (те. делаешь для себя), то можно OUTPUT chain спокойно оставить ACCEPT, и жить будет легче.
2. Я давно конфигурировал свой iptables, но мне кажется, что нужно указывать --dport, а не --sport. Какая серваку разница, с кaкого порта коннектится клиент?
3. Еше точно помню, что есть флажки (-i, -o что ли), позволяющие указывать с и на какой интерфейс происходит коннект.
...
Рейтинг: 0 / 0
23.04.2004, 18:12
| Ответить | Цитировать | Написать  
Борьба с iptables
    #32496573
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
Всем спасибо, разобрался. iptables после ipfilter как-то совсем никак...
...
Рейтинг: 0 / 0
26.04.2004, 12:36
| Ответить | Цитировать | Написать  
9 сообщений из 9, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Борьба с iptables
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&fpage=267&tid=1491563]:
 0ms
get settings:
 10ms
get forum list:
 12ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 47ms
get topic data:
 12ms
get forum data:
 3ms
get page messages:
 53ms
get tp. blocked users:
 2ms
others: 246ms
total:  393ms
созд. / загр.: 393ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]