Forum Debian Users Gang

hmm wtedy mu zdropuje 80 ;D. A z tego co napisal kolega chce miec www smtp i gg czyli 53,80,25,110,443,995,8074 powinny byc na accept (nie zapomniec o 53 po udp) ;D,


jezeli puszcza wszystkie porty userom pewnie masz domyslna politke na ACCEPT

wystarczy dodac do iptables

iptables -P INPUT DROP
iptables -P FORWARD DROP

i bedzie dropowalo domyslnie ruch na tych lancuchach :)
no i wtedy dopiero po kolei puszczasz porty.

btw. lancuch OUTPUT ustala reguly dla pakietow wyjsciowych z localhosta ;)
forward dla pakietow przechodzacych przez router
a input dla pakietow wejsciowych ;)

hmm wtedy mu zdropuje 80 ;D. A z tego co napisal kolega chce miec www smtp i gg czyli 53,80,25,110,443,995,8074 powinny byc na accept (nie zapomniec o 53 po udp) ;D,

Kurza ślepota mnie dopada ;-)

wiecie co nie chodzi o ty by dac komus gotowca bo to jest bez sensu takich jest n^2 na googlach. :)

a co do kolegi to tylko dopowiem, ze po udp i tcp wystarczy port 53. Reszta dziala po TCP.
Lancuch INPUT wytlumacze w ten sposob:
Jest to lancuch zarzadzajacy dostepem do odpalonych uslug na serwerze.
Przyklad:
Jezeli odpalasz apache ktory dziala po porcie 80 i chcesz, aby userzy mieli dostep do twojej strony www nalezy przepuscic ruch na tym porcie i lancuchu INPUT.
dokladniej bedzie wygladalo to tak:


iptables -I INPUT -p tcp --dport 80 -j ACCEPT

(w ten sposob kazdy moze wejsc na twoja witryne)

OUTPUT jest lancuchem dzieki ktoremu mozesz sie laczyc z uslugami innych komputerow. Ale wylacznie z localhosta.

Przyklad:
jezeli chcesz polaczyc sie po ssh ze swojego serwera do innego. To wlasnie w tedy OUTPUT zarzadza takim polaczeniem.
Dlatego zawsze daje go na ACCEPT po calosci

No i magiczny lancuch FORWARD ktory zarządza pakietami przechodzacymi przez serwer w procesie routingu.

Przyklad:

iptables -A FORWARD -i eth1 -p tcp -m multiport --dport 22,25,53,80,110,443,995,8074 -j ACCEPT

jupi cala siec (eth1) sie cieszy ze ma gadulca www smtp i ssl ;D

no i na koncu magiczne

iptables -P INPUT DROP
iptables -P FORWARD DROP

widze, że ludzie wypowiadają się mądrze tutaj więc podepne moje pytanko.

A co z tablicami. Bo te regułki wpinają się w tab. filter. A na przykład czytając manuala iptables można zauważyć (IMO jeśli źle myślę poprawcie) że to co dochodzi do nas z zew. możemy w tablicy mangle przerobić i dopiero wpuścić na serwer.
Inaczej
Jak to jest którą tablice kiedy wykorzystać i dlaczego tak po ludzku bo się powoli zaczynam gubić.
Dzięk za odp.

widze, że ludzie wypowiadają się mądrze tutaj więc podepne moje pytanko.

A co z tablicami. Bo te regułki wpinają się w tab. filter. A na przykład czytając manuala iptables można zauważyć (IMO jeśli źle myślę poprawcie) że to co dochodzi do nas z zew. możemy w tablicy mangle przerobić i dopiero wpuścić na serwer.
Inaczej
Jak to jest którą tablice kiedy wykorzystać i dlaczego tak po ludzku bo się powoli zaczynam gubić.
Dzięk za odp.

Też próbuje opanować iptables. Jak coś palne prosze o poprawe ;).
Reguły grupowane są w łańcuchy czyli każdy łańcuch stanowi uporządkowana liste reguł. Łańcuchy znowu zgrupowane są w tablice a każda z tablic zwiazane z innym rodzajem przetwarzania pakietów.
Filter table -odpowiedzialna za blokowanie lub przepuszczanie pakietów (każdy pakiet jest przetwarzany ).
NAT table - odpowiada za tłumaczenie adresów i portów.(pierwszy pakiet każdego połączenia jest przetwarzany)
mangle table - dotyczy wszystkich pakietów przechodzących i można w niej ustawic takie opcje jak TTL, QoS itd.(czyli tutaj mmożemy modyfikować pakiet)
Może ten rysunek wyjaśni Tobie sprawe :

Jest tu przedstawiona kolejność przetwarzania danych przez netfilter

dzieki wielkie rozjaśniło mi się w głowie :)