Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2020-04-24 21:07:17

  wytrych - Użytkownik

wytrych
Użytkownik
Zarejestrowany: 2020-04-24

Uszkodzony iptables-persistent

Jak wyżej.

Ostatnio edytowany przez wytrych (2020-05-01 21:23:39)

Offline

 

#2  2020-04-24 21:39:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uszkodzony iptables-persistent

Narzędzia dla lamerów często powodują problemy.

naucz się używać sensowniejszych  poleceń:

Kod:

iptables-save

oraz

Kod:

iptables-restore

RTFM:

Kod:

man iptables-save

Kod:

man iptables-restore

a narzędzia dla lamerów i idiotów typu iptables-persistent  wywal w kosmos.

Generalnie jak oczekujesz, że system będzie sam mysłał za Ciebie, to nie miej potem pretensji, że nie zawsze mu wszystko wychodzi tak, jakbyś sobie tego życzył. :P

To by było na tyle.
:P

Ostatnio edytowany przez Jacekalex (2020-04-24 21:40:50)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2020-04-24 22:09:28

  wytrych - Użytkownik

wytrych
Użytkownik
Zarejestrowany: 2020-04-24

Re: Uszkodzony iptables-persistent

Ok.

Ostatnio edytowany przez wytrych (2020-05-01 21:23:52)

Offline

 

#4  2020-04-25 00:45:06

  megabajt - Użytkownik

megabajt
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2012-03-07

Re: Uszkodzony iptables-persistent

Kod:

$ cat /usr/share/doc/nftables/examples/workstation.nft
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;

        # accept any localhost traffic
        iif lo accept

        # accept traffic originated from us
        ct state established,related accept

        # activate the following line to accept common local services
        #tcp dport { 22, 80, 443 } ct state new accept

        # accept neighbour discovery otherwise IPv6 connectivity breaks.
        ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

        # count and drop any other traffic
        counter drop
    }
}

Offline

 

#5  2020-04-25 14:47:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uszkodzony iptables-persistent

Cały FW u mnie:

Kod:

# root ~> egrep -v '^#|^$' /etc/nftables/nftables.rules  
flush ruleset
table inet filter {
    set systemdns {
        type ipv4_addr
        elements = { 1.0.0.1, 1.1.1.1,
                 8.8.4.4, 8.8.8.8,
                 208.67.220.220, 208.67.222.222 }
    }
    set youtubeslow {
        type ipv4_addr
        flags interval
        elements = { 62.252.170.140, 62.252.170.141,
                 62.252.170.142, 62.252.170.143,
                 62.252.170.144, 62.252.170.145,
                 62.252.170.146, 62.252.170.147,
                 62.253.3.0/24, 173.194.55.0/24,
                 206.111.0.0/16 }
    }
    set systemdns6 {
        type ipv6_addr
        elements = { 2001:4860:4860::8844,
                 2001:4860:4860::8888,
                 2620:0:ccc::2,
                 2620:0:ccd::2 }
    }
       set outallow { 
            type ipv4_addr
             flags interval
            elements = { 217.70.184.38 , 185.52.170.0/24, 34.255.157.6 , 52.208.16.85, 52.84.198.0/24, 63.239.232.208/28, 63.239.232.224/30 }
           }
       set outallow6 { 
             type ipv6_addr
             flags interval
            elements = { 2a02:26f0:d8::6851:3c3b, 2a02:26f0:d8::6851:3c28, 2600:1409:6800::1728:c648, 2600:1409:6800::1728:c611, }
           }
    chain input {
        type filter hook input priority 0; policy drop;
        ct state established,related accept
        iif "lo" accept
        ip saddr 192.168.1.21 tcp dport 1716 counter accept
        ip saddr 192.168.1.21 udp dport 1716 counter accept
        ip6 saddr fe80::/10 tcp dport 1716 counter accept
        ip6 saddr fe80::/10 udp dport 1716 counter accept
        ip6 nexthdr ipv6-icmp counter accept
        ip protocol icmp icmp type { destination-unreachable, router-advertisement, router-solicitation, time-exceeded, parameter-problem } accept
    }
    chain forward {
        type filter hook forward priority 0; policy drop;
                ct state established,related accept
                oifname "net" counter accept 
    }
    chain output {
        type filter hook output priority 200; policy drop;
        ct state established,related accept
        oifname "lo" accept
        ip daddr @systemdns counter accept
        ip daddr @youtubeslow counter reject
        ip6 daddr @systemdns6 counter accept
        ip daddr @outallow counter accept
        ip6 daddr @outallow6 counter accept
        ip protocol icmp counter accept
        ip6 nexthdr ipv6-icmp counter accept
        cgroup 1 counter accept
        cgroup 2 counter accept
        cgroup 3 counter accept
        cgroup 4 counter accept
        cgroup 5 counter accept
        cgroup 6 counter accept
        cgroup 7 counter accept
        cgroup 8 counter accept
        cgroup 9 counter accept
        cgroup 11 counter accept
               ct state new log prefix "OUTPUT Zablokowany: " group 0 queue-threshold 20 reject 
           reject
               }
}
table ip nat {
    chain prerouting {
        type nat hook prerouting priority 0; policy accept;
    }
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        oifname "net" counter masquerade
    }
}

I działa nie tyle przez moduły nftables, co przez przeportowany z OpenBSD moduł  BPFILTER.

Przy okazji filtruje OUTPUT przez mechanizm cgroup, wyjątkiem są appki środowiska KDE, gdzie przez KDE-frameworks nie da się filtrować osobno Chocok a osobno Akregatora, tylko najwyżej całe KDE łącznie.
Wszystkie programy  widżety KDE używają biblioteki kio-http wywoływanej przez kdeinit.

Pozdro

Ostatnio edytowany przez Jacekalex (2020-04-25 16:42:21)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2020-04-29 13:54:48

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Uszkodzony iptables-persistent

SOA#1

Kod:

root@debian:~# systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
     Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/netfilter-persistent.service.d
             └─iptables.conf
     Active: active (exited) since Wed 2020-04-29 12:36:30 CEST; 1h 17min ago
       Docs: man:netfilter-persistent(8)
    Process: 496 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
   Main PID: 496 (code=exited, status=0/SUCCESS)

kwi 29 12:36:34 debian netfilter-persistent[503]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
kwi 29 12:36:34 debian netfilter-persistent[503]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start
kwi 29 12:36:28 debian systemd[1]: Starting netfilter persistent configuration...
kwi 29 12:36:30 debian systemd[1]: Finished netfilter persistent configuration.
root@debian:~# lsb_release -a && uname -a
No LSB modules are available.
Distributor ID:    Debian
Description:    Debian GNU/Linux bullseye/sid
Release:    unstable
Codename:    sid
Linux debian 5.5.0-2-amd64 #1 SMP Debian 5.5.17-1 (2020-04-15) x86_64 GNU/Linux

Jacekalex napisał(-a):

Cały FW u mnie:

podajesz swoją konfigurację FW publicznie serio? To raczej dane wrażliwe no ale ok ...

Ostatnio edytowany przez hi (2020-04-29 14:19:26)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#7  2020-04-29 17:52:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uszkodzony iptables-persistent

podajesz swoją konfigurację FW publicznie serio? To raczej dane wrażliwe no ale ok ...

Dane wrażliwe? gdzie?
Informacja jedynie, że nie drzwi są zamknięte zawsze jest publiczna.

Kluczy prywatnych SSH czy GnuPG nie publikuję. :P

Ostatnio edytowany przez Jacekalex (2020-04-29 17:52:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)