Forum Debian Users Gang

Czy mógłbyś odszyfrować pytanie?

Bo adres "powiązany" - co to takiego?

A ta reguła:

iptables -A INPUT -p tcp -syn -j DROP

- ona ma odrzucać pakiety syn, czyli właściwie co robić?

Przecież  na otwarty port można się wbić zarówno protokołem  UDP, jak i dowolnym praktycznie pakietem TCP.
Wcale niekoniecznie pakietem syn.

Jak chcesz mi mocno poprawić humor, to pokaż resztę tego firewalla,
a na razie RTFM

man iptables

W szczególności dopasowanie

-m state --state NEW

Co do sposobu wysyłania pakietów , to np:
RTFM:

man nmap
man nc

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-08 02:56:33)

Mój domowy fw:

iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT  -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j TARPIT 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j STEAL 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Działa wszystko, natomiast skanując z zewnątrz w ogóle nie można stwierdzić, co tam jest za system, wygląda to na jakiś router.

Pod rozwagę, najprostszy możliwy przykład, który niczego zbędnego nie wpuszcza:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/ … rzyk%C5%82ady

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-10 05:46:20)

Podaj proszę całą konfigurację dotyczącą iptables oraz wynik polecenia iptables -L -v -n bo inaczej można się tylko domyślać.

Jak już wspomniałem, moje reguły podobne są do reguł jakie przedstawił Jacekalex. Mam dodanych jedynie kilka reguł dot. np. SYN Flood'a, icmp itp. Nic szczególnego. Chciałem się jedynie dowiedzieć dlaczego pojawił się ten adres w kolumnie source dla łańcucha INPUT. To wszystko.

iptables -z parametrem -S podaje reguły w formacie gotowym do wklejenia do skryptu, samego skryptu już nie trzeba.

remi napisał(-a):

Jak już wspomniałem, moje reguły podobne są do reguł jakie przedstawił Jacekalex. Mam dodanych jedynie kilka reguł dot. np. SYN Flood'a, icmp itp. Nic szczególnego. Chciałem się jedynie dowiedzieć dlaczego pojawił się ten adres w kolumnie source dla łańcucha INPUT. To wszystko.

Gdyby byly naprawdę podobne, to by działały podobnie.
Ale najwyraźniej masz jakiś błąd, skoro to nie działa.

Jak nie pokażesz reguł, to nie będzie wiadomo, jaki to błąd.
Nikt tu nie ma szklanej kuli, żeby wiedzieć, co masz spaprane w ustawieniach, jeśli sam się nie pochwalisz.
A jeśli w regułach pojawia sie jakiś podejrzany adres IP, jako dopuszczony, to skąd się takie reguly biorą?
Nie masz czasem jakiegoś programu w stylu ufw, firestartera, czy guarddoga, który ustawia reguły po swojemu?

Bo iptables sam nie generuje reguł, tylko przetwarza podane w linni poleceń reguły, na kod zrozumiały dla modułów kernela, w tym kernelu zawartych, lub załadowanych do pamięci.

Ponadto znajomość protokołów sieciowych się kłania:

iptables -I INUPT -p tcp --syn -j DROP

blokuje pakiety tcp z flaga syn, natomiast np usługa  DNS działa w ramach protokołu UDP, której ta reguła nie obejmuje, bo jest ograniczona tylko do protokołu tcp.

Jeżeli jej użyjesz do blokowania, to każdy pakiet icmp, udp, czy tcp z flagą inną niż syn (nmapem można wysłać każdy typ pakietu, o netcacie nie wspominając ;), każdy taki pakiet jest wpuszczany przez firewall.
Wniosek?
Konfiguracja firewalla spaprana, przygotowana przez kogoś, kto nie ma podstawowej wiedzy o protokołach sieciowych, i nie rozumie logiki działania firewalla.
Nie rozumie tego, że w firewallu najpierw blokuje się wszystkie typy połączeń przez politykę domyślną, a potem pozwala na poszczególne typy i rodzaje połączeń szczególowymi regułami.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-17 14:23:36)

Ale ja nie wspominałem o tym, że filter nie działa. Oczywiście domyślna polityka odpowiada za blokowanie. Jak już wspomniałem, zaciekawiło mnie dlaczego pojawił się - w ogóle - jakiś adres po dodaniu takiej reguły, którą usunąłem praktycznie od razu. Po prostu ciekawi mnie to - nic więcej.

Hej, poczekaj! Nie grałeś może w jaskiniowcach? No wiesz, jabadabadu! Nie ma mowy o żadnym "nabijaniu" postów, "ściśle tajnych regułach" etc. Powtarzam po raz kolejny - chciałbym dowiedzieć się dlaczego ta reguła spowodowała pojawienie się tego adresu. Nic więcej! Nie rozumiem dlaczego jest taki problem, wszakże istnieje jakaś sensowna odpowiedź, prawda?

coś mi się zdaje że z taką chęcią współpracy to ten wątek wyląduje albo w luźnych albo w /dev/null xD

@Jacekalex
A co to za cele CHAOS, TARPIT,STEAL nigdy o takich nie czytałem.
Można oczywiśćie zrobić cel tworząc swoje własne łańcuchy ale ich nie widzę w listingu.

A czy zamiast dwoch

-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j CHAOS --delude

nie lepiej jeden -p all

bobycob a jednak ta reguła spowodowała pojawienie się adresu IP, pytanie przy wszystkim i każdym szczególe; dlaczego? Rozumiem, że w niewiedzy jest strach. Och, całe te intelekty... Ta "rozmowa" nie prowadzi do niczego sensownego, i małej wartości jest to wszystko, więc z mojej strony EOT. Nie dbam oto gdzie wyląduje ten temat. Jest mi wszystko jedno. Życzę wszystkim miłego dnia i pozdrawiam, a xtables-addons doprawdy są ciekawe i warte bliższego poznania. Narazientos!

iptables -P INPUT DROP
iptables -A INPUT  -i lo -j ACCEPT 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

100% ochrony desktopa, żadne nowe połączenia z netu nie mają wstępu do kompa.
A internet działa.
To  jest magia iptables.