Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Борьба с iptables / 9 сообщений из 9, страница 1 из 1
22.04.2004, 18:06
    #32492688
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
Как правильно сконфигурировать iptables, чтобы было возможно установить соединение с внешним интерфейсом своей же машины с какого-то неопределённого порта этого же самого интерфейса при использовании политики DROP на INPUT и OUTPUT-цепочках? Сейчас политика такая:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
Chain INPUT (policy DROP)
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp   --  192.168.0.9          192.168.0.1        tcp dpt:22
 
ACCEPT     tcp   --  0.0.0.0/0            192.168.0.1        tcp dpt:5050
 
ACCEPT     tcp   --  0.0.0.0/0            192.168.0.1        tcp dpt:1521
 

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:22
 
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:5050
 
ACCEPT     tcp   --  192.168.0.1          0.0.0.0/0          tcp spt:1521
 
ACCEPT     tcp   --  192.168.0.1          192.168.0.1        tcp dpt:1521


При попытке соединения с этой машины (192.168.0.1) на неё же на порт 1521 в netstat видно следующее

Код: plaintext
1.
2.
tcp         0        0   192  .168  .0  .1  :1521          0  .0  .0  .0 :*               LISTEN
tcp         0        1   192  .168  .0  .1  :32852         192  .168  .0  .1  :1521         SYN_SENT


и соединение не проходит. Вот зе фак?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.04.2004, 20:29
    #32492881
Yet another cat
Yet another cat
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
А чего это у тебя Chain INPUT 2 раза встречается в листинге? Это опечатка или как?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.04.2004, 20:42
    #32492887
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
Опечатка. Из буфера 2 раза вставил, до конца не подчистил :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.04.2004, 23:07
    #32492949
Tiv
Tiv
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
Может туплю, но может и поможет
Код: plaintext
iptables -A INPUT -p tcp -s  192  .168  .0  .1  --sport  1521  -d  192  .168  .0  .1  -j ACCEPT
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.04.2004, 07:16
    #32493050
Yet another cat
Yet another cat
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
С утра подумал. Присоединяюсь к предыдущему посту. Нет правила, позволяющего принять ответ с 1521-го порта на любой порт.

А вообще в целях диагностики можно было в input/output цепях последними поставить правила, которые пакеты в лог записывают. Сразу бы понял, что дропается. А потом эти правила можно убрать.
=====
Не дождетесь!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.04.2004, 09:21
    #32493156
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
Не помогает. Аналогично не получается, например, приssh-иться с этой машины на саму себя (добавил input-правило для 22-го порта аналогично предложенному Tiv). В логе видно вот что:
Код: plaintext
1.
Apr  23   08  :18  :01  localhost kernel: iptablesIN= OUT=lo SRC =192  .168  .0  .1  DST =192  .168  .0  .1  LEN =60  TOS=0x00 PREC=0x00 TTL =64  ID =0  DF PROTO=TCP SPT =32773  DPT =22  WINDOW =32767  RES=0x00 SYN URGP =0

Добавлял журналирование следующим образом:
Код: plaintext
1.
2.
3.
4.
# iptables -A INPUT -p tcp -j LOG  --log-prefix iptables
 
# iptables -A OUTPUT -p tcp -j LOG  --log-prefix iptables
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.04.2004, 12:43
    #32493798
Tiv
Tiv
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
1 Не вижу разрешения на вход пакетов на 22 порт с локальной машины, если пост 1 актуален.

2 Позволю расширить вопрос.
2.1 Не правильней ли будет разрешить весь трафик с 192.168.0.1 к 127.0.0.1 и наоборот.
2.2 Не правильнее ли разрешить весь исходяшьй трафик, или это всетаки повредит безопасности.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.04.2004, 18:12
    #32494900
nex
nex
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
1. Если нету юзверов, которым надо закрыть доступ на какие-то сервисы извне (те. делаешь для себя), то можно OUTPUT chain спокойно оставить ACCEPT, и жить будет легче.
2. Я давно конфигурировал свой iptables, но мне кажется, что нужно указывать --dport, а не --sport. Какая серваку разница, с кaкого порта коннектится клиент?
3. Еше точно помню, что есть флажки (-i, -o что ли), позволяющие указывать с и на какой интерфейс происходит коннект.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.04.2004, 12:36
    #32496573
Scott Tiger
Scott Tiger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Борьба с iptables
Всем спасибо, разобрался. iptables после ipfilter как-то совсем никак...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Борьба с iptables / 9 сообщений из 9, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 370ms
Закрыть
start [/forum/topic.php?fid=25&tablet=1&tid=1491563]:
 0ms
get settings:
 11ms
get forum list:
 14ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 40ms
get topic data:
 11ms
get forum data:
 3ms
get page messages:
 52ms
get tp. blocked users:
 1ms
others: 230ms
total:  370ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]