iptables / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables

23 сообщений из 23, страница 1 из 1

iptables

#37373469

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Скажите пожалста, как запретить все водящие подключения кроме 1 хоста? А то боюсь эксперементирвать.

...

Рейтинг:

0 / 0

29.07.2011, 18:12

| Ответить | Цитировать | Написать

iptables

#37373552

qprostu

Гость

Hett,
скажем для 192.168.2.1
если политика по умолчанию для цепочки INPUT - DTOP, то всего одна команда

Код: plaintext

iptables -A INPUT -s  192 . 168 . 2 . 1 / 32  -j ACCEPT

если политика по умолчанию для цепочки INPUT - ACCEPT, тогда можно так

Код: plaintext

iptables -A INPUT -s  192 . 168 . 2 . 1 / 32  -j ACCEPT
iptables -A INPUT -s  192 . 168 . 2 . 0 / 24  -j DROP

или так

Код: plaintext

iptables -A INPUT -s  192 . 168 . 2 . 1 / 32  -j ACCEPT
iptables -A INPUT -s  192 . 168 . 2 . 0 / 24  -j REJECT --reject-with icmp-host-prohibited

...

Рейтинг:

0 / 0

29.07.2011, 19:28

| Ответить | Цитировать | Написать

iptables

#37373562

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

А если определенный порт закрыть?

...

Рейтинг:

0 / 0

29.07.2011, 19:44

| Ответить | Цитировать | Написать

iptables

#37373569

spider13

Участник

Откуда: https://spider13.net/

Сообщения: 968

Рейтинг: 0 / 0

смотри,
"iptables" - сама комманда
"-A INPUT" - цепочка, ее не надо менять
"-s 192.168.2.1/32" это адрес источника, ставишь здесь свой ip который тебе нужен
"-j ACCEPT" - действие, что делать с пакетом

ты можешь сюда задать еще одно условие, после "-s 192.168.2.1/32" вставить то, что тебе нужно. список можешь посмотреть здесь http://www.opennet.ru/docs/RUS/iptables/

...

Рейтинг:

0 / 0

29.07.2011, 19:59

| Ответить | Цитировать | Написать

iptables

#37373573

qprostu

Гость

Закрыть порт ...

Если для цепочки INPUT политика по умолчанию DROP, то порты надо не закрывать,
а открывать, т.к. изначально все запрещено. Ну а так:

Код: plaintext

iptables -A INPUT -m tcp -p tcp --dport  80  -j DROP

...

Рейтинг:

0 / 0

29.07.2011, 20:13

| Ответить | Цитировать | Написать

iptables

#37373749

private

Участник

Сообщения: 1 707

Рейтинг: 0 / 0

а есть какая-то утилита в юниксе которая позволяет по простому управлять портами?

...

Рейтинг:

0 / 0

30.07.2011, 02:54

| Ответить | Цитировать | Написать

iptables

#37373793

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Прописываю 2 правила:

# iptables -A INPUT -s 178.49.41.251/24 -j ACCEPT
# iptables -A INPUT -s 0/0 -j REJECT

У меня перестает трафик нормально проходить. SSH работаеТ, фтп не может выполнить LIST, веб-сервер вообще не доступен, хотя в netstat подключения показываются вроде. Почему так?

...

Рейтинг:

0 / 0

30.07.2011, 09:45

| Ответить | Цитировать | Написать

iptables

#37373794

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  178.49.41.0/24       anywhere
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
hett@chinclub:/#

...

Рейтинг:

0 / 0

30.07.2011, 09:46

| Ответить | Цитировать | Написать

iptables

#37373811

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Ничего не пойму, есть у кого-нибудь мысли?

...

Рейтинг:

0 / 0

30.07.2011, 10:55

| Ответить | Цитировать | Написать

iptables

#37373814

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Не хватало правила замыкания на себя, все заработало, всем спасибо :)

...

Рейтинг:

0 / 0

30.07.2011, 11:10

| Ответить | Цитировать | Написать

iptables

#37373831

qprostu

Гость

Hett,

ну да, если использовать

Код: plaintext

# iptables -A INPUT -s  0 / 0  -j REJECT

то перекрывается весь трафик пакетов. И тогда до этого правила
необходимо правило:

Код: plaintext

iptables -A INPUT -i lo -j ACCEPT

...

Рейтинг:

0 / 0

30.07.2011, 12:12

| Ответить | Цитировать | Написать

iptables

#37374093

MazoHist

Участник

Сообщения: 999

Рейтинг: 0 / 0

До кучи рекомендую прописать правило для существующих и "порожденных" соединений:

Код: plaintext

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

...

Рейтинг:

0 / 0

30.07.2011, 21:56

| Ответить | Цитировать | Написать

iptables

#37374216

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

А можно пример, в каком случае такое правило может понадобиться?

...

Рейтинг:

0 / 0

31.07.2011, 10:57

| Ответить | Цитировать | Написать

iptables

#37374255

qprostu

Гость

Hett,

пример файла конфигурации iptables (/etc/sysconfig/iptables) в котором разрешен
доступ извне на web-сервер и сервера postgresql и mysql, а также разрешен доступ
по протоколу icmp (ping):

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

# Firewall configuration
*filter
:INPUT DROP [ 0 : 0 ]
:FORWARD DROP [ 0 : 0 ]
:OUTPUT ACCEPT [ 0 : 0 ]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport  80  -j ACCEPT
# PostgreSQL
-A INPUT -m state --state NEW -m tcp -p tcp --dport  5432  -j ACCEPT
# MySQL
-A INPUT -m state --state NEW -m tcp -p tcp --dport  3306  -j ACCEPT
COMMIT

...

Рейтинг:

0 / 0

31.07.2011, 12:42

| Ответить | Цитировать | Написать

iptables

#37374317

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Только фтп почему-то не работает теперь, клиент после подключения не может дождаться ответа выполнения команды LIST, в чем может быть проблема?

...

Рейтинг:

0 / 0

31.07.2011, 16:17

| Ответить | Цитировать | Написать

iptables

#37374390

qprostu

Гость

Для работы протокола ftp есть 2 режима - активный и пассивный.
Чтобы работал активный режим достаточно такой конфигурации iptables:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.

# Firewall configuration
*filter
:INPUT DROP [ 0 : 0 ]
:FORWARD DROP [ 0 : 0 ]
:OUTPUT ACCEPT [ 0 : 0 ]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport  21  -j ACCEPT
COMMIT

Чтобы работал пассивный режим необходимо добавить одно правило:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

# Firewall configuration
*filter
:INPUT DROP [ 0 : 0 ]
:FORWARD DROP [ 0 : 0 ]
:OUTPUT ACCEPT [ 0 : 0 ]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport  21  -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --sport  1024 : 65535  --dport  1024 : 65535  -j ACCEPT
COMMIT

...

Рейтинг:

0 / 0

31.07.2011, 19:59

| Ответить | Цитировать | Написать

iptables

#37374411

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

У меня нету никаких ограничений по портам:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  92.241.174.8         anywhere
ACCEPT     all  --  94.79.54.82          anywhere
ACCEPT     all  --  loopback/24          anywhere
ACCEPT     all  --  90.188.30.13         anywhere
ACCEPT     all  --  178.49.41.0/24       anywhere
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Я захожу с адреса 178.49.41.251
Заметил такую особенность, что наблюдается какой-то зависон при подкючении. Например подключаю ссш, она чего-то ждет с пол минуты а потом только начинает работать. Так же и при подключении к мускулу. Хотя телнетом цепляется сразу.

...

Рейтинг:

0 / 0

31.07.2011, 20:50

| Ответить | Цитировать | Написать

iptables

#37374417

qprostu

Гость

Hett,

проще тогда все-таки

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --   92 . 241 . 174 . 8          anywhere
ACCEPT     all  --   94 . 79 . 54 . 82           anywhere
ACCEPT     all  --  loopback/ 24           anywhere
ACCEPT     all  --   90 . 188 . 30 . 13          anywhere
ACCEPT     all  --   178 . 49 . 41 . 0 / 24        anywhere

для такой конфигурации строка
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
необязательна, хотя может и присутствовать.
Ну а насчет зависания (может с dns что-то не так?) - это уже надо подробнее смотреть.
Можно использовать, например, tcpdump.

...

Рейтинг:

0 / 0

31.07.2011, 21:06

| Ответить | Цитировать | Написать

iptables

#37374422

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Я по IP-адресу подключаюсь. Странности какие-то.

...

Рейтинг:

0 / 0

31.07.2011, 21:13

| Ответить | Цитировать | Написать

iptables

#37374433

qprostu

Гость

Можно посмотреть что происходит при подключении:

Код: plaintext

tcpdump -n -nn -i eth0 host  178 . 49 . 41 . 251  and port not  22

Насчет ssh можно попробовать установить в /etc/ssh/sshd_conf параметр:

Код: plaintext

UseDNS no # по умолчанию yes

...

Рейтинг:

0 / 0

31.07.2011, 21:26

| Ответить | Цитировать | Написать

iptables

#37374438

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

HettНапример подключаю ссш, она чего-то ждет с пол минуты а потом только начинает работать.
Так же и при подключении к мускулу. Хотя телнетом цепляется сразу.

ssh и MySQL используют (x)inetd? Попробуй отключить для них опцию USERID или открыть порт
119 на клиентской стороне.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

31.07.2011, 21:38

| Ответить | Цитировать | Написать

iptables

#37377969

Avatar

Гость

privateа есть какая-то утилита в юниксе которая позволяет по простому управлять портами?
Попробуй поставить Webmin, там есть удобная графическая утилита для работы с iptables.

...

Рейтинг:

0 / 0

03.08.2011, 04:46

| Ответить | Цитировать | Написать

iptables

#37377989

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Dimitry SibiryakovHettНапример подключаю ссш, она чего-то ждет с пол минуты а потом только начинает работать.
Так же и при подключении к мускулу. Хотя телнетом цепляется сразу.

ssh и MySQL используют (x)inetd? Попробуй отключить для них опцию USERID или открыть порт
119 на клиентской стороне.

А какая связь? Для этой сети разрешено все как и раньше, на клиенте ничего не менялось, стоит удалить правила дроп 0/0 как все начинает нормально работать.

авторПопробуй поставить Webmin, там есть удобная графическая утилита для работы с iptables.
Поставил csf+webmin

...

Рейтинг:

0 / 0

03.08.2011, 07:28

| Ответить | Цитировать | Написать

23 сообщений из 23, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=37374438&tid=1484101]:	0ms
get settings:	10ms
get forum list:	20ms
check forum access:	4ms
check topic access:	4ms
track hit:	425ms
get topic data:	11ms
get forum data:	3ms
get page messages:	66ms
get tp. blocked users:	2ms
others:	226ms

total:	771ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы