Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-05-09 10:24:09
life - 
Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
problem z iptables na VPS
Mam taki problem. Stoi sobie VPS (parawirtualizacja)
Stawiam tam firewalla ale się okazuje że np takie reguły
Kod:
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
nie działają. Zapewne dlatego że jądro nie jest normalne tylko przygotowane jako gość w wirtualnym systemie.
generalnie inne reguły są ok tzn domyślnie DROP dla przychodzących ACCEPT dla wychodzących.
Problem tylko w tym że np wget nie działa, apt-get też bo jak z wyjściem nie ma problemu to potem z wejściem jest (bo portów nie mam otwartych) a z automatu się nie otworzą bo
--state ESTABLISHED, RELATED
nie działa.
ktoś ma jakiś pomysł ?
w tej chwili jak chcę sprawdzić aktualizacje albo pobrać coś wget-em muszę wyłączyć firewalla a potem go ponownie włączyć.
Offline
#2 2010-05-09 11:04:23
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: problem z iptables na VPS
Może pokaż całość tego firewalla, może gdzieś jest błąd.
Offline
#3 2010-05-09 12:22:38
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: problem z iptables na VPS
proszę bardzo:
#!/bin/bash
SERWER="x.x.x.x"
INET_IF=venet0
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
echo "Otwarcie portow"
# Odblokowujemy uslugi na serwerze dla innych przychodzacych z zewnatrz
iptables -A INPUT -p tcp -s 0/0 --dport 20:22 -d $SERWER -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 20:22 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 113 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 25 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 993 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 995 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 143 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 465 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 2000 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 110 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 111 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 587 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 443 -d $SERWER -j ACCEPT
iptables -A INPUT -p all -s 72.233.69.3 -d $SERWER -j ACCEPT
iptables -A INPUT -p all -s 72.233.69.2 -d $SERWER -j ACCEPT
iptables -A INPUT -p all -s 66.135.58.62 -d $SERWER -j ACCEPT
iptables -A INPUT -p all -s 66.135.58.61 -d $SERWER -j ACCEPT
# Utrzymanie nawiazanych
#iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# dostep do DNS (google)
iptables -A INPUT -p tcp -s 8.8.8.4 --sport 53 -d $SERWER -j ACCEPT
iptables -A INPUT -p udp -s 8.8.8.4 --sport 53 -d $SERWER -j ACCEPT
iptables -A INPUT -p tcp -s 8.8.8.8 --sport 53 -d $SERWER -j ACCEPT
iptables -A INPUT -p udp -s 8.8.8.8 --sport 53 -d $SERWER -j ACCEPT
# nieuzywane klasy adresowych
iptables -A INPUT -s 10.0.0.0/8 -j DROP #class A
iptables -A INPUT -s 172.16.0.0/12 -j DROP #class B
iptables -A INPUT -s 224.0.0.0/4 -j DROP #multicast
iptables -A INPUT -s 240.0.0.0/5 -j DROP #reserved
jak od komentuje linijkę
Kod:
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
to dostaję:
iptables v1.4.2: Bad state `'
Try `iptables -h' or 'iptables --help' for more information.
samo:
Kod:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
daje:
iptables: No chain/target/match by that name
Ostatnio edytowany przez life (2010-05-09 12:26:12)
Offline
#4 2010-05-09 12:52:34
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: problem z iptables na VPS
O nawet napisałeś co nie działa. Było tak od razu. "ESTABLISHED, RELATED" nie powinno być spacji po przecinku, popraw i sprawdź.
Offline
#5 2010-05-09 19:44:58
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: problem z iptables na VPS
kamikaze napisał(-a):
O nawet napisałeś co nie działa. Było tak od razu. "ESTABLISHED, RELATED" nie powinno być spacji po przecinku, popraw i sprawdź.
Dalej to samo czyli:
iptables: No chain/target/match by that name
Z tego co mi wiadomo to żeby działało "ESTABLISHED, RELATED" w jądrze powinno być zaznaczone:
Connection state match support
VPS jest na OpenVZ tak więc parawortualizacja kompilować swojego kernela chyba się nie da no chyba że jest inna opcja żeby to włączyć.
Offline
#6 2010-05-09 21:22:09
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: problem z iptables na VPS
life napisał(-a):
kamikaze napisał(-a):
O nawet napisałeś co nie działa. Było tak od razu. "ESTABLISHED, RELATED" nie powinno być spacji po przecinku, popraw i sprawdź.
Dalej to samo czyli:
iptables: No chain/target/match by that name
No jak to samo jak wcześniej był inny komunikat i usunięcie spacji pomogło. Może dla ciebie to bez różnicy bo dalej nie działa, ale jest lepiej niż było. Wyszedł kolejny problem, nie masz obsługi stanów dla iptables, dodaj do jądra. A może masz moduł ładujące obsługę tego, poszukaj.
Offline
#7 2012-03-01 22:25:01
samu - Stały bywalec
- samu
- Stały bywalec
- Skąd: ~/.linux/dug
- Zarejestrowany: 2011-06-15
Re: problem z iptables na VPS
life napisał(-a):
kamikaze napisał(-a):
O nawet napisałeś co nie działa. Było tak od razu. "ESTABLISHED, RELATED" nie powinno być spacji po przecinku, popraw i sprawdź.
Dalej to samo czyli:
iptables: No chain/target/match by that name
Z tego co mi wiadomo to żeby działało "ESTABLISHED, RELATED" w jądrze powinno być zaznaczone:
Connection state match support
VPS jest na OpenVZ tak więc parawortualizacja kompilować swojego kernela chyba się nie da no chyba że jest inna opcja żeby to włączyć.
Dla potomnych :) OpenVZ
/etc/sysconfig/iptables-config
IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
/etc/sysconfig/vz
IPTABLES="ipt_REJECT
ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
service vz restart
pozdro
g0rn
Ostatnio edytowany przez g0rn (2012-03-01 22:26:38)
Offline
#8 2012-03-01 22:47:03
thomsson - Dyskutant
- thomsson
- Dyskutant
- Zarejestrowany: 2011-10-26
Re: problem z iptables na VPS
g0rn ty żyjesz ;)
ilin napisał
"DUG to tez moja mała ojczyzna"
Offline
#9 2012-03-01 23:24:39
samu - Stały bywalec
- samu
- Stały bywalec
- Skąd: ~/.linux/dug
- Zarejestrowany: 2011-06-15
Re: problem z iptables na VPS
na pół gwizdka ale żyje :)
Offline