Forum Debian Users Gang

woitekd · 2010-12-30 20:20:16

Cześć, niedawno zacząłem eksperymentować z iptables i mam problem otóż gdy pinguje sobie www.wp.pl to wyskakuje mi ze host nieznany a jak pinguje wp.pl po adresie ip to wszystko ok, debian na którym jest ten firewall jest na maszynie wirtualnej po wyłączeniu firewall'a wyczyszczeniu reguł i przepuszczeniu całego ruchu idzie nawet po nazwie domenowej.

oto mój ubogi firewall

Kod:

#!/bin/bash

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP

IPORTS=67,22,80,8080,53
OPORTS=67,22,80,8080,53

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dport $IPORTS -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport $OPORTS -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport $IPORTS -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --sport $OPORTS -m state --state NEW -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

Ostatnio edytowany przez woitekd (2010-12-31 03:57:25)

Jacekalex · 2010-12-30 21:14:04

On nie jest ubogi ino kiepsko skonstruowany.

Kod:

~ # iptables -L -n -v
Chain INPUT (policy DROP 94 packets, 4808 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  vboxnet0 *       192.168.56.0/24      0.0.0.0/0           
 284K   47M ACCEPT     all  --  lo     *       0.0.0.0/0            127.0.0.0/8         
1914K 2529M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
    0     0 DROP       udp  -f  eth0   *       0.0.0.0/0            0.0.0.0/0           
 291K   70M REJECT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state NEW reject-with icmp-host-unreachable 
 5497  249K TARPIT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state NEW 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  *      *       192.168.56.0/24      0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
1740K  155M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      lo      127.0.0.0/8          0.0.0.0/0

To mój firewall, cały internet chodzi prawidłowo.
Tu jest instrukcja:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf

A na początek spróbuj takiego podstawowego ustawienia:

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Na takim ustawieniu WSZYSTKO działa (desktop), a komputer jest solidnie chroniony.
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/ … rzyk%C5%82ady
Wszystkie pingi powinny iść prawidłowo.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2010-12-30 21:20:08)

woitekd · 2010-12-31 03:56:49

ok, dzięki jeszcze muszę się dużo nauczyć :)

kayo · 2011-01-03 08:12:26

Do tego

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

dodałbym

Kod:

iptables -A INPUT -i lo -j ACCEPT

inaczej system będzie miał drobne zawieszenia

Jacekalex · 2011-01-03 12:45:31

kayo napisał(-a):
Do tego
Kod:
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
dodałbym
Kod:
iptables -A INPUT -i lo -j ACCEPT
inaczej system będzie miał drobne zawieszenia

Ale tylko niektóre :)
Jeśli OUTPUT jest na ACCEPT - to obejmuje również lo, a INPUT nawiązanych i kontynuowanych polączeń jest na ACCEPT (ta reguła również obejmuje lo):
Dlatego reguła:

Kod:

iptables -A INPUT -i lo -j ACCEPT

może być, w niczym nie przeszkadza, ale nie zmienia działania firewalla w ogóle.

A drobych zawieszeń systemu szukałbym w środowisku graficznym i zamkniętych sterownikach do rozmaitych urządzeń.

Pozdrawiam
;-)

kayo · 2011-01-03 20:40:27

Jednak ma. Start KDE od momentu zalogowania z wpisem iptables -A INPUT -i lo -j ACCEPT to 15 s, a bez 43 s

Forum Debian Users Gang

Ogłoszenie

#1 2010-12-30 20:20:16

woitekd - Użytkownik

[SOLVED]Cieżkie początki z iptables

Kod:

#2 2010-12-30 21:14:04

Jacekalex - Podobno człowiek...;)

Re: [SOLVED]Cieżkie początki z iptables

Kod:

Kod:

#3 2010-12-31 03:56:49

woitekd - Użytkownik

Re: [SOLVED]Cieżkie początki z iptables

#4 2011-01-03 08:12:26

kayo - Członek DUG

Re: [SOLVED]Cieżkie początki z iptables

Kod:

Kod:

#5 2011-01-03 12:45:31

Jacekalex - Podobno człowiek...;)

Re: [SOLVED]Cieżkie początki z iptables

kayo napisał(-a):

Kod:

Kod:

Kod:

#6 2011-01-03 20:40:27

kayo - Członek DUG

Re: [SOLVED]Cieżkie początki z iptables

Stopka forum