Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-02-14 10:43:33
Pakos - 
Członek DUG
iptables - blokowanie usług
Temat wyłącznie do sprawdzenia, tzn guglałem sporo o iptables i skleiłem kilka regułek no i chciałbym aby osoba bardziej obeznana wypowiedziała się czy to ma sens i działa :)
W teorii ma być zablokowane wszystko poza www czyli port 80 wejscie wyjscie, ssh (57185) wejscie wyjscie, skleiłem to na podstawie przykładu z http://zsk.wsti.pl/publikacje/iptables_przystepnie.htm
Kod:
# Generated by iptables-save v1.4.8 on Mon Feb 13 15:30:05 2012 *mangle :PREROUTING ACCEPT [6028063:9003319180] :INPUT ACCEPT [6028063:9003319180] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3184474:174161428] :POSTROUTING ACCEPT [3184474:174161428] COMMIT # Completed on Mon Feb 13 15:30:05 2012 # Generated by iptables-save v1.4.8 on Mon Feb 13 15:30:05 2012 *filter :INPUT DROP [2:208] :FORWARD DROP [0:0] :OUTPUT ACCEPT [216:27566] -A INPUT -p tcp -m tcp --dport 57185 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT -A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT -A INPUT -p tcp -m tcp --sport 57185 -j ACCEPT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT COMMIT
Kod:
iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:57185 ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp spt:ftp ACCEPT tcp -- anywhere anywhere tcp spt:www ACCEPT tcp -- anywhere anywhere tcp spt:http-alt ACCEPT tcp -- anywhere anywhere tcp spt:57185 ACCEPT udp -- anywhere anywhere udp spt:domain ACCEPT tcp -- anywhere anywhere tcp spt:mysql Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Bedzie to działać? Poprawić coś? :>
Offline
#2 2012-02-14 15:07:47
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: iptables - blokowanie usług
Nie czaję, po co te reguly z portami źródłowymi, do takich polączeń jest moduł state, albo pozwolenie na połączenia wychodzące poszczególnym użytkownikom czy globalnie dla całego systemu.
np te regułki:
Kod:
-A INPUT -p udp -m udp --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
Co one w ogóle robią? i skąd się wzięły?
Co do otwierania portów na dostęp z internetu, to warto by się zastanowić nad limitem połączeń i zabezpieczeniem przed DOS/DDOS.
Tu masz dosć prosty przykład:
http://forum.dug.net.pl/viewtopic.php?pid=191895#p191895
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2012-02-14 15:28:01)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-02-14 15:19:45
Pakos - Członek DUG
Re: iptables - blokowanie usług
Wzięły sie one z przykladu ktory podlinkowalem, poczytam teraz co ty zapodales :)
edit:
coz brak modulu state uniemozliwia mi wykorzystywanie niektorych regul, np iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT, da sie to jakos obejsc?
2 sprawa na chwile obecna ma to byc prosty zestaw, rozbudowa potem, gdy opanuje podstawe czyli: zamkniecie wszystkiego i otwarcie tylko www, ssh, irc
Kod:
-A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - do zmiany bo nie dziala? -A OUTPUT -j ACCEPT -A INPUT -p tcp --dport 80 -j ACCEPT - www -A INPUT -p tcp --dport tu port ssh -j ACCEPT - ssh -A INPUT -p tcp --dport 6667 -j ACCEPT - irc -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT - ping reszte wywalic -A INPUT -j REJECT -A FORWARD -j REJECT
takie cos zadziała? Szczerze im wiecej czytam poradnikow tym wiekszy metlik mam w glowie :)
Ostatnio edytowany przez Pakos (2012-02-14 21:16:35)
Offline
#4 2012-02-21 20:30:04
Pakos - Członek DUG
Re: iptables - blokowanie usług
trochę pomęczyłem temat, kernel już z brakującymi modułami, wygląda to tak:
Kod:
Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere multiport dports www,domain,https,57185,ircd,9091,51413 state NEW ACCEPT udp -- anywhere anywhere multiport dports www,domain,https,57185,6667,9091,51413 state NEW ACCEPT icmp -- anywhere anywhere icmp echo-request REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere multiport sports www,domain,https,57185,ircd,9091,51413 state NEW ACCEPT udp -- anywhere anywhere multiport sports www,domain,https,57185,6667,9091,51413 state NEW ACCEPT icmp -- anywhere anywhere icmp echo-request
sprawdzałem nmapem, porty pozamykane, poza tymi co podałem oczywiście (www,dns, https, itd), jedynie 6667 (irc) ciągle jest zamknięty, nie rozumiem czemu bo reguła dobra - otworzyła inne porty. Jak to ugryźć bo bez tego z irc się łączyć nie mogę :|
Offline
#5 2012-02-24 15:43:25
az - debianlover
- az
- debianlover
- Zarejestrowany: 2009-01-23
Re: iptables - blokowanie usług
chyba nie rozumiem... czemu sobie nie ustawisz polityki na drop i nie dasz allow na te 2 porty?
Debian everywhere
Offline