Forum Debian Users Gang

cwks napisał(-a):

WItam!
Jak można odświeżyć (przeładować) świeżo dodane i zapisane reguły iptables bez konieczności restartu komputera?

Po załączeniu konsoli oraz wejściu w zakładke edycja są tam opcje: wyczyść terminal, zresetuj terminal,wyczyść historie.
Po wykonaniu tych operacji, w konsoli wciskając strzałki góra/dół w pamięci są wpisywane polecenia, komendy, teksty. Jak można to również pousuwać?

Pozdrawiam

Jeśli masz to w skrypcie to przeważnie na początku masz czyszczenie wpisów, więc czyścisz wpisy i ponownie uruchamiasz skrypt z nowymi regułami.
Co do historii poleceń to odpowiedzialny jest plik .bash_history w  domowym katalogu uzytkownika.

Jaka jest zasada podawania portów w iptables?
Chodzi mi o porty  które chcemy poblokować.
Np:3800:5500 - w ten sposó można podać.
A jak podać np: 137:139, 560, 678, 98?
Czy można podać różne grupy i je oddzielić przecinkiem czy może spacją?
Pozdrawiam

Dzięki za odpowiedź.

kamikaze napisał(-a):

Możesz napisać skrypt, np:

for port in 137 138 139 560 678 98
do
  iptables -A INPUT -p tcp -i eth0 --dport $port -j DROP
done

Co do iptables-restore poczytaj man.

Czy nie powinno być sport ?

iptables -A INPUT -p tcp -i eth0 --sport $port -j DROP

INPUT czyli wejście do mnie, sport czyli porty wejściowe?
OUTPUT to wyjście w stronę www czyli dport?
Jeżeli coś źle napisałem, to proszę o sprostowanie.

Pozdrawiam

Ostatnio edytowany przez cwks (2009-07-23 00:12:11)

Witam!
Ja to rozumie tak.
Łańcuch INPUT --sport,  --dport.
Łańcuch OUTPUT --sport, --dport.
2 komputery: Klient, Serwer.

-------------------------------------------------
Przykład1:
Klient  nawiązuje połączenie z Serwerem:
Klient (OUTPUT --dport) łączy się z Serwerem (INPUT --dport). Serwer odpowiada (OUTPUT --sport) wysyła pakiet do Klient (INPUT --sport).

Przykład2:
Kiedy Serwer lub jakiś inny komputer jako pierwszy nawiązuje połączenie z Klientem:
Serwer (OUTPUT --dport) łączy się z Klientem (INPUT --dport). Klient odpowiada (OUTPUT --sport) i wysyła pakiet do Serwer (INPUT --sport).

W obu przypadkach jest ta sama zasada.

A jak jest w przypadku komunikatorów internetowych, GG, Kadu, czy nawet Skype?
Dwóch Klientów rozmawia z sobą i przesyłają wiadomości tekstowe. Wszystko idzie poprzez serwer.
Przy polityce wszystko DROP

iptables -A INPUT -p tcp --sport 8074 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8074 -j ACCEPT

Czyli ja zaczynam i mi odsyłają, a co przypdku kiedy ktoś inny zaczyna pisać do mnie?
Na kadu są inne porty 2897, 1920, 5021?
Trzeba pewnie je otwierać w dwie strony.
Na Skype na połączenia przychodzące jest port 23399, zresztą można to zmienić.
A na wychodzące jest ten sam port?

Pozdrawiam

Witam!

kamikaze napisał(-a):

(...) A przykłady są niezbyt jasne dla mnie, wszystko zależy od tego gdzie jest firewall, na kliencie , serwerze, na obu.

Chodziło mi o zrozumienie i zasadę przekazywanie pakietów do portów czy dobrze to rozumie?
Firewall na Kliencie i Serwerze i i filtrowanie w obie strony.
Odnośnie filtrowania w obie strony to zgadzam się z tym, że nie trzebba tego robić. Podałem tak tylko dla przykładu.

Pozdrawiam

cwks napisał(-a):

Chciałbym się też spytać odnośnie używania

Kod:

iptables-save 
iptables-restore

Iptables-save działał fajnie i zapisał wszystko, a natomiast po wydaniu polecenia iptables-restore kursor przechodził do następnej linijki i tak stał, dlaczego?
Po restarcie nic nie ładował.

iptables-save: http://tinyurl.com/ks2dbr
iptables-restore: http://tinyurl.com/nw9vzk

Witam!

Dlaczego w pierwszym przypadku na porcie nr 80 a w łańcuchu INPUT jest --sport a drugim przypadku na tym samym porcie jest --dport?

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP

$IPT -A INPUT  -p tcp --sport 80 -j ACCEPT    
$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT

Zresztą na innych usługach ta sama zasada. W ostatnim moim poście są linki do pełnych konfiguracji.

#dns
$IPT -A INPUT  -p udp --sport 53 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT

# DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

Czym te reguły się różnią, dlaczego w łańcuchu INPUT pierwszym przypadku jest --sport a w drugim --dport?
Staram się pisać jak najprościej by zostać dobrze zrozumiany.

$IPT -A INPUT  -p tcp --sport 80 -j ACCEPT 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Pozdrawiam

cwks napisał(-a):

Witam!

Dlaczego w pierwszym przypadku na porcie nr 80 a w łańcuchu INPUT jest --sport a drugim przypadku na tym samym porcie jest --dport?

Ktoś tak sobie wymyślił, pytaj autora. Może miał potrzebę filtrowania w ten sposób.

cwks napisał(-a):

Czym te reguły się różnią, dlaczego w łańcuchu INPUT pierwszym przypadku jest --sport a w drugim --dport?
Staram się pisać jak najprościej by zostać dobrze zrozumiany.

Kod:

$IPT -A INPUT  -p tcp --sport 80 -j ACCEPT 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Czym się reguły róznią to chyba już sobie odpowiedziałeś, raz jest --sport, raz --dport. A dlaczego, to tak jak wyżej, widocznie ktoś chciał tak zrobić. Jest to dozwolone i prawidłowe, chodź jeśli chodzi o http to --sport raczej nie będzie nigdy miało wartości 80, więc reguła będzie zawsze omijana. No chyba, że ktoś sobie na porcie 80 wystawił coś innego niż http i taka reguła jest mu potrzebna.

Witam kolege kamikaze.
Kiedy napisałem jak rozumie zasadę przesyłania pakietów, to to samo napisałem w poniższym przykładzie. 

cwks napisał(-a):
Witam!
Ja to rozumie tak.
Łańcuch INPUT --sport,  --dport.
Łańcuch OUTPUT --sport, --dport.
2 komputery: Klient, Serwer.

-------------------------------------------------
Przykład1:
Klient  nawiązuje połączenie z Serwerem:
Klient (OUTPUT --dport) łączy się z Serwerem (INPUT --dport). Serwer odpowiada (OUTPUT --sport) wysyła pakiet do Klient (INPUT --sport).

Przykład2:
Kiedy Serwer lub jakiś inny komputer jako pierwszy nawiązuje połączenie z Klientem:
Serwer (OUTPUT --dport) łączy się z Klientem (INPUT --dport). Klient odpowiada (OUTPUT --sport) i wysyła pakiet do Serwer (INPUT --sport).

W obu przypadkach jest ta sama zasada.

kamikaze napisał(-a):

cwks napisał(-a):

Jeżeli jakiś komputer w sieci łączy się ze mną poprzez np:ssh [port 22] to dane które idą do mnie wchodzą na INPUT --dport? A ode mnie wychodzą z OUTPUT --sport? (jako źródła).

kamikaze napisał(-a):Tak.

Tą samą zasade opisałem w powyższych dwóch przykładach.

Mam pytanie odnośnie skryptu?

kamikaze napisał(-a):

Możesz napisać skrypt, np:

for port in 137 138 139 560 678 98
do
  iptables -A INPUT -p tcp -i eth0 --dport $port -j DROP
done

Chciałbym wiedzieć czy jest pisane razem czy może jest spacja między  --dport  a  $port?
Wydaje mi się że razem.

Pozdrawiam