Forum Debian Users Gang

Novi-cjusz · 2015-12-11 20:42:45

Po kilku dniach lamiglowek chcialem sprawdzic wlasny skrypt iptables na Jessie.
Najpierw staralem sie je zlokalizowac i dowiedziec wiecej za pomoca kilku komend:

Kod:

root@debian:/home/robin# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
root@debian:/home/robin# systemctl enable iptables
Failed to execute operation: No such file or directory
root@debian:/home/robin# chkconfig firewalld off
bash: chkconfig: command not found
root@debian:/home/robin# service --status-all
 [ + ]  acpid
 [ - ]  alsa-utils
 [ - ]  anacron
 [ + ]  atd
 [ + ]  avahi-daemon
 [ - ]  bluetooth
 [ - ]  bootlogs
 [ - ]  bootmisc.sh
 [ - ]  checkfs.sh
 [ - ]  checkroot-bootclean.sh
 [ - ]  checkroot.sh
 [ + ]  console-setup
 [ + ]  cron
 [ + ]  cups
 [ + ]  cups-browsed
 [ + ]  dbus
 [ + ]  exim4
 [ + ]  gdm3
 [ + ]  gdomap
 [ - ]  hostname.sh
 [ - ]  hwclock.sh
 [ + ]  kbd
 [ + ]  keyboard-setup
 [ - ]  killprocs
 [ + ]  kmod
 [ + ]  minissdpd
 [ - ]  motd
 [ - ]  mountall-bootclean.sh
 [ - ]  mountall.sh
 [ - ]  mountdevsubfs.sh
 [ - ]  mountkernfs.sh
 [ - ]  mountnfs-bootclean.sh
 [ - ]  mountnfs.sh
 [ + ]  netfilter-persistent
 [ + ]  network-manager
 [ + ]  networking
 [ + ]  nfs-common
 [ - ]  pppd-dns
 [ + ]  procps
 [ + ]  rc.local
 [ - ]  rmnologin
 [ + ]  rpcbind
 [ + ]  rsyslog
 [ + ]  saned
 [ - ]  sendsigs
 [ + ]  speech-dispatcher
 [ + ]  udev
 [ + ]  udev-finish
 [ - ]  umountfs
 [ - ]  umountnfs.sh
 [ - ]  umountroot
 [ + ]  urandom
 [ - ]  x11-common
root@debian:/home/robin#  service --status-all | grep netfilter-persistent
 [ + ]  netfilter-persistent
root@debian:/home/robin# iptables -vL
Chain INPUT (policy ACCEPT 1361 packets, 497K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1339 packets, 150K bytes)
 pkts bytes target     prot opt in     out     source               destination         
root@debian:/home/robin# ip6tables -vL
Chain INPUT (policy ACCEPT 1235 packets, 1062K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1167 packets, 169K bytes)
 pkts bytes target     prot opt in     out     source               destination root@debian:/home/robin# journalctl -b -p err
-- Logs begin at Fri 2015-12-11 10:28:40 GMT, end at Fri 2015-12-11 18:07:17 GMT
Dec 11 10:28:45 debian minissdpd[548]: setsockopt(udp, IP_ADD_MEMBERSHIP)(0.0.0.
Dec 11 10:28:47 debian kernel: r8169 0000:02:00.0: firmware: failed to load rtl_
Dec 11 10:28:56 debian pulseaudio[1016]: [pulseaudio] pid.c: Daemon already runn
Dec 11 14:56:08 debian systemd-udevd[6464]: inotify_add_watch(6, /dev/sdb1, 10) 

root@debian:/home/robin# systemd-analyze blame
          3.923s exim4.service
          3.212s ModemManager.service
          3.168s NetworkManager.service
          2.910s accounts-daemon.service
          2.463s alsa-restore.service
          2.434s systemd-logind.service
          2.423s pppd-dns.service
          2.369s nfs-common.service
          2.322s rc-local.service
          2.320s speech-dispatcher.service
          2.320s gdomap.service
          2.319s minissdpd.service
          2.217s avahi-daemon.service
           740ms keyboard-setup.service
           545ms rsyslog.service
           526ms rpcbind.service
           511ms systemd-modules-load.service
           510ms networking.service
           457ms kbd.service
           454ms systemd-tmpfiles-setup-dev.service
           418ms packagekit.service
           368ms polkitd.service
           298ms systemd-tmpfiles-setup.service
           274ms dev-mqueue.mount
           274ms dev-hugepages.mount
           273ms sys-kernel-debug.mount
           258ms systemd-udev-trigger.service
           257ms systemd-setup-dgram-qlen.service
           246ms colord.service
           212ms user@117.service
           210ms saned.service
           199ms console-setup.service
           159ms kmod-static-nodes.service
           107ms systemd-journal-flush.service
           106ms systemd-backlight@backlight:eeepc-wmi.service
           102ms systemd-user-sessions.service
            93ms udisks2.service
            85ms systemd-random-seed.service
            82ms gdm.service
            79ms systemd-tmpfiles-clean.service
            74ms wpa_supplicant.service
            70ms systemd-update-utmp.service
            59ms upower.service
            46ms systemd-sysctl.service
            39ms rtkit-daemon.service
            36ms udev-finish.service
            19ms systemd-remount-fs.service
            15ms user@1000.service
            14ms netfilter-persistent.service
            12ms systemd-udevd.service
             4ms systemd-update-utmp-runlevel.service
             1ms sys-fs-fuse-connections.mount
root@debian:/home/robin# systemctl status iptables.service
● iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
 root@debian:/home/robin# systemctl status iptables.service
● iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
root@debian:/home/robin#  systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
   Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled)
   Active: active (exited) since Fri 2015-12-11 17:40:45 GMT; 43min ago
  Process: 8805 ExecStop=/usr/sbin/netfilter-persistent stop (code=exited, status=1/FAILURE)
  Process: 8808 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
 Main PID: 8808 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/netfilter-persistent.service

Odnosze wrazenie, ze te komendy sa niespojne.
Na temat iptables na Debian8 w kontekscie Systemd, jest wyjatkowo malo informacji, natomiast wiele o bugach.
Czy iptables w Jessie nazywa sie netfilter-persistent?
Bede wdzieczny za kilka slow naprowadzenia.

Novi-cjusz · 2015-12-12 17:26:34

Poczytalem o narzedziu administracyjnym systemd i komendzie systemctl.
Zastosowalem wszystkie komendy po kolei.
Nie rozumiem:
- czy iptables jest natywnie zainstalowana w Jessie i wymaga tylko uruchomienia?
- nie jest zainstalowana natywnie i trzeba ja najpierw instalowac a dopiero nastepnie uruchomic?
Co mam robic w tej sytuacji, kiedy wyniki polecen w terminalu sa sprzeczne?
Prosze o 2 slowa lub jeden sensowny link (byle nie z gatunku tych "pisz pan na Berdyczow")

Najpierw:

Kod:

root@debian:/home/robin# iptables -L -n -v
Chain INPUT (policy ACCEPT 19945 packets, 22M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 20915 packets, 3134K bytes)
 pkts bytes target     prot opt in     out     source               destination

Pozniej:

Kod:

root@debian:/home/robin# service iptables status
● iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
root@debian:/home/robin# systemctl start iptables.service
Failed to start iptables.service: Unit iptables.service failed to load: No such file or directory.
root@debian:/home/robin# systemctl is-enabled iptables.service; echo $?
Failed to get unit file state for iptables.service: No such file or directory

Jak to wytlumaczyc?

Ostatnio edytowany przez Novi-cjusz (2015-12-12 18:44:54)

Jacekalex · 2015-12-12 19:04:09

Daj sobie spokój z SystemD w kontekście firewalla.

Jeśli masz tam taki folder:

Kod:

/etc/network/if-pre-up.d/

To zrób sobie skrypta:

np:

Kod:

nano /etc/network/if-pre-up.d/firewall

wklejasz tam:

Kod:

#!/bin/sh

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


ip6tables -F
ip6tables -X
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

potem jeszcze:

Kod:

chmod 755 /etc/network/if-pre-up.d/firewall

I po restarcie iptables powinien być poprawnie skonfigurowany.

To najprostsza konfiguracja dla desktopa, uwzględniająca połączenia ipv4 i ipv6.

Skrypt startowy iptables w systemd wyłącz, żeby nie mieszał.

Ostatnio edytowany przez Jacekalex (2015-12-12 19:04:34)

Novi-cjusz · 2015-12-12 19:14:33

W miedzyczasie:

Kod:

root@debian:/home/robin# dpkg --list | grep iptables
ii  iptables                              1.4.21-2+b1                          amd64        administration tools for packet filtering and NAT
ii  iptables-persistent                   1.0.3                                all          boot-time loader for netfilter rules, iptables plugin

Bardzo dziekuje za jak zawsze perfekcyjna odpowiedz.
Chcialem tylko zrozumiec co bylo nie tak skoro mam zainstalowane iptables a nie moge wystartowac uslugi.
Przewalilem caly Internet i nic nie ma.
Chyba systemd nie jest do konca sprawny jako najnowsze narzedzie (demon) administracji uslug na Linuksie.

Wykonane. Zglaszam si juz zza zapory iptables.
Praktycznie nieodczuwalna dla szybkosci otwierania stron.
Bede sie powtarzal, ale ,,, zazdroszcze wiedzy i szacunek.

Pakos · 2015-12-13 02:56:54

na sytemd uzywam iptables tak:

Kod:

root@ns332131:/home/pakos/Downloads# systemctl status netfilter-persistent.service 
● netfilter-persistent.service - netfilter persistent configuration
   Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled)
   Active: active (exited) since Wed 2015-09-23 22:21:45 CEST; 2 months 19 days ago
 Main PID: 2719 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/netfilter-persistent.service

+

save z iptables zapisany w:

Kod:

root@ns332131:/home/pakos/Downloads# ls /etc/iptables/
rules.v4  rules.v4.old  rules.v6

dziala wysmienicie

morfik · 2015-12-13 13:24:38

Systemd, iptables i usługi aplikujące reguły iptables to są całkiem inne rzeczy. Te dwie ostatnie się różnią tylko tym, że usługi, które nakładają reguły działają w oparciu o iptables. To ostatnie jest opcjonalne i można sobie zrobić zwykły skrypt, który będzie te reguły dodawał do iptables i taki skrypt wywołać w systemd podczas startu systemu. Ja tak mam i mi działa wszystko w porządku:

Kod:

# systemctl status morfinetwork
● morfinetwork.service - morfinetwork
   Loaded: loaded (/etc/systemd/system/morfinetwork.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2015-12-12 12:43:00 CET; 24h ago
     Docs: man:iptables
           man:ipset
           man:tc
           man:sysctl
  Process: 1294 ExecStart=/bin/sh -c /etc/morfinetwork/tc.sh (code=exited, status=0/SUCCESS)
  Process: 1239 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_filter.sh (code=exited, status=0/SUCCESS)
  Process: 1235 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_nat.sh (code=exited, status=0/SUCCESS)
  Process: 1229 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_mangle.sh (code=exited, status=0/SUCCESS)
  Process: 1225 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_raw.sh (code=exited, status=0/SUCCESS)
  Process: 1100 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_filter.sh (code=exited, status=0/SUCCESS)
  Process: 1085 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_nat.sh (code=exited, status=0/SUCCESS)
  Process: 1046 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_mangle.sh (code=exited, status=0/SUCCESS)
  Process: 904 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_raw.sh (code=exited, status=0/SUCCESS)
  Process: 512 ExecStart=/bin/sh -c /etc/morfinetwork/ipset.sh (code=exited, status=0/SUCCESS)
 Main PID: 1294 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/morfinetwork.service

Dec 12 12:42:50 morfikownia systemd[1]: Starting morfinetwork...
Dec 12 12:43:00 morfikownia systemd[1]: Started morfinetwork.

Novi-cjusz · 2015-12-13 18:41:51

@Pakos
U mnie teraz tak to wyglada:

Kod:

root@debian:/home/robin# systemctl status netfilter-persistent.service 
● netfilter-persistent.service - netfilter persistent configuration
   Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled)
   Active: active (exited) since Sun 2015-12-13 17:21:19 GMT; 9min ago
  Process: 309 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
 Main PID: 309 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/netfilter-persistent.service

Dec 13 17:21:20 debian netfilter-persistent[309]: run-parts: executing /usr/s...
Dec 13 17:21:20 debian netfilter-persistent[309]: run-parts: executing /usr/s...
Hint: Some lines were ellipsized, use -l to show in full.

Jedna rzecz mnie zastanawia: iptables-persistent odpowiada za podnoszenie uslugi po kolejnych rebootach, ale to jest osobny pakiet z zupelnie innym zadaniem niz iptables.
Innymi slowy jezeli jak w powyzej zalaczonym kodzie iptables - persistent jest "enabled" to znaczy, ze cala usluga iptables zabangala?

Iptables jest wlaczone:

Kod:

root@debian:/home/robin# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Szukam w necie zaawansowanych regol dla iptables ale wszedzie sa tylko dla beginnersow.

Ostatnio edytowany przez Novi-cjusz (2015-12-13 18:44:59)

thomsson · 2015-12-13 18:45:51

Enabled znaczy tyle, że przy starcie systemu systemd będzie sam podnosił iptables-persistent, ustawiasz to via

Kod:

systemctl enable iptables-persistent

wyłączasz autostart opcją 'disable

Novi-cjusz · 2015-12-13 18:49:49

@morfik

Systemd, iptables i usługi aplikujące reguły iptables to są całkiem inne rzeczy

To jest wlasnie strzal w "dziesiatke" mojego problemu
Nie rozumiem tych relacji, a z netu niewiele sie na ten temat dowiedzialem.
Bylbym bardzo wdzieczny za linka w celu podszkolenia.

@thomsson
Na temat komendy "systemctl" przeczytalem kilka stron i wiele przykladow jej zastosowania.
Niestety w podany przez ciebie sposob nie moglem uruchomic uslugi iptables.
W Sieci bylo wiele podobnych przypadkow, innym ludziom to tez nie dzialalo.
Natomiast procedura podana przez Jacekalex zatrybila od pierwszego strzalu.
Przyznam, ze slowo "enabled" kojarzylem bardziej z wlaczeniem uslugi np po reboocie niz jak napisales

przy starcie systemu systemd będzie sam podnosił iptables-persistent

yossarian · 2015-12-13 19:09:09

thomsson napisał(-a):
Enabled znaczy tyle, że przy starcie systemu systemd będzie sam podnosił iptables-persistent, ustawiasz to via
Kod:
systemctl enable iptables-persistent
wyłączasz autostart opcją 'disable

Nie ma takiej usługi. iptables-persistent nie służy do aktywacji zapory przy starcie systemu.

Automatyczną aktywację zapory (przed podniesieniem sieci) załatwiają odpowiednie regułki umieszczone w postaci skryptów w /etc/network/if-pre-up.d/ (tak jak podał Jacekalex) lub /usr/share/netfilter-persistent/plugins.d

systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
Active: active (exited) since Sun 2015-12-13 17:53:42 GMT; 10min ago
Main PID: 438 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/netfilter-persistent.service

Dec 13 17:53:41 debian systemd[1]: Starting netfilter persistent configuration...
Dec 13 17:53:42 debian netfilter-persistent[438]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/firewall start
Dec 13 17:53:42 debian systemd[1]: Started netfilter persistent configuration.

To dwa zupełnie inne mechanizmy:
iptables-persistent to zupełnie inny mechanizm do zapisywania/wczytywania regułek do/z pliku, który może działać z tymi dwoma wcześniejszymi.
iptables-persistent + /etc/network/if-pre-up.d/:

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules

i ostatnia opcja iptables-persistent + netfilter persistent (to co podał Pakos):

File list of package iptables-persistent in sid of architecture all

/usr/share/doc/iptables-persistent/README
/usr/share/doc/iptables-persistent/changelog.gz
/usr/share/doc/iptables-persistent/copyright
/usr/share/netfilter-persistent/plugins.d/15-ip4tables
/usr/share/netfilter-persistent/plugins.d/25-ip6tables

No i można zrobić wszystko ręcznie jak w przypadku morfika.

Novi-cjusz · 2015-12-13 19:47:47

@yossarian
A jak zinterpretowac fakt, ze: iptables (a nie iptables-persistent) jest zainstalowan, uruchomione, liczniki dzialaja, a tymczasem:

Kod:

robin@debian:~$  systemd-analyze blame
          3.286s exim4.service
          3.133s ModemManager.service
          3.089s networking.service
          2.757s NetworkManager.service
          2.395s accounts-daemon.service
          2.127s netfilter-persistent.service
          2.088s kbd.service
          1.647s alsa-restore.service
          1.625s pppd-dns.service
          1.567s systemd-logind.service
          1.556s rc-local.service
          1.555s speech-dispatcher.service
          1.555s gdomap.service
          1.555s minissdpd.service
          1.453s avahi-daemon.service
           957ms keyboard-setup.service
           884ms console-setup.service
           781ms systemd-tmpfiles-setup.service
           778ms systemd-journal-flush.service
           620ms systemd-remount-fs.service
           554ms polkitd.service
           536ms systemd-modules-load.service
           495ms systemd-tmpfiles-setup-dev.service
           487ms rsyslog.service
           467ms systemd-update-utmp.service
           449ms dev-mqueue.mount
           449ms dev-hugepages.mount
           448ms sys-kernel-debug.mount
           446ms colord.service
           441ms systemd-setup-dgram-qlen.service
           429ms systemd-random-seed.service
           408ms systemd-backlight@backlight:eeepc-wmi.service
           381ms nfs-common.service
           362ms packagekit.service
           235ms saned.service
           183ms systemd-udev-trigger.service
           167ms rpcbind.service
           143ms kmod-static-nodes.service
           120ms systemd-user-sessions.service
           107ms gdm.service
            87ms user@117.service
            82ms udisks2.service
            75ms wpa_supplicant.service
            60ms udev-finish.service
            59ms upower.service
            51ms rtkit-daemon.service
            46ms systemd-sysctl.service
            13ms user@1000.service
            12ms systemd-udevd.service
             5ms systemd-update-utmp-runlevel.service
             1ms sys-fs-fuse-connections.mount

nie widac uslugi?
Wszystko sprowadza sie do zagadnienia, jak miec pewnosc, ze iptables "robi swoja robote" i chroni mojego kompa?
Dlaczego komenda

Kod:

sudo systemctl start iptables.service

za ta strona: http://www.dynacont.net/documentation/linux/Useful_SystemD_commands/
nie startuje tej uslugi?

yossarian · 2015-12-13 19:52:01

Nie startuje bo nie ma takiej usługi.
Tyle samo sensu ma wpisanie:

Kod:

sudo systemctl start zrób-mi-kawę.service

Jacekalex · 2015-12-13 19:57:21

Novi-cjusz napisał(-a):
Wykonane. Zglaszam si juz zza zapory iptables.
Praktycznie nieodczuwalna dla szybkosci otwierania stron.
Bede sie powtarzal, ale ,,, zazdroszcze wiedzy i szacunek.

Jeżeli już w poście nr 4 firewall działał prawidłowo, to po kiego czorta te dywagacje o SystemD?

Oczywiście cenna wiadomość, że w Systemd można przynajmniej na razie odpalać własne skrypty z poziomu usług startowych, zobaczymy jednak, czy i kiedy w miarę udoskonaleń zniknie taka możliwość.
Czy może w ogóle nie będzie można ustawiać FW po tym, kiedy Nftables i Iptables staną się częścią SystemD, czy może trochę wcześniej. :D

Ostatnio edytowany przez Jacekalex (2016-02-03 18:09:18)

uzytkownikubunt · 2015-12-13 19:58:13

2464

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:11)

Jacekalex · 2015-12-13 20:01:08

uzytkownikubunt napisał(-a):
....
Ustawienia netfiltera w jądrze sprawdzasz tym poleceniem:
Kod:
iptables -L -v -n

Raczej:

Kod:

iptables -S
iptables -t nat -S
iptables -t raw -S
iptables -t mangle -S

Sprawdzanie w ten sposób poszczególnych łańcuchów daje dużo bardziej czytelne wyniki.

Ostatnio edytowany przez Jacekalex (2015-12-13 20:02:24)

Novi-cjusz · 2015-12-13 20:16:04

@yossarian

Nie startuje bo nie ma takiej usługi.
Tyle samo sensu ma wpisanie:

I to to chodzi, krotkie slowa, w ramach systemd nie ma uslugi iptables.service. Koniec, kropka
Robic wg postu nr5.

@Jacekalex

po kiego czorta te dywagacje o SystemD?

Wzielo sie stad, ze w Internecie jest sporo informacji o ludziach, ktorzy starali sie uruchomic iptables.service w ramach SystemD za pomoca komendy systemctl start iptables.service.
Teraz wiem, ze to nie dziala, a 2 najwazniejsze aspekty iptables tzn:
- automatyczne podnoszenie po kazdym reboocie
- start przed startem karty sieciowej
nalezy wykonywac wg podanych wsazowek.
Bardzo dziekuje, teraz naprawde wiele wiecej z tego (dzieki Waszej pomocy) rozumiem.

Mam jeszcze takie swoje male marzenie, zebym mogl analizowac caly egress traffic (connections only) w wersji "verbal" connmark, conntrack itd.
Ale to chyba jeszcze za wczesnie.

Ostatnio edytowany przez Novi-cjusz (2015-12-13 20:22:07)

yossarian · 2015-12-13 20:25:14

Nie wiem skąd takie wnioski.
Skąd pomysł na jakieś iptables.service?
Poczytaj sobie:

Kod:

man iptables

Ani iptables, ani systemd nie mają nic wspólnego z zarządzaniem usługą systemową zapory sieciowej.
Robią to zupełnie inne narzędzia: ifupdown (korzystając ze skryptów w /etc/network/if-pre-up.d/) lub netfilter-persistent (korzystając ze skryptów w /usr/share/netfilter-persistent/plugins.d/). Wybór zależy od potrzeb, usługi zarządzającej siecią lub osobistych preferencji.

Masz wszystko podane na tacy i to wielokrotnie, a w kółko piszesz od rzeczy.

Może zacznij w końcu czytać manuale i dokumentację. No i trochę myśleć przy tym nie zaszkodzi.

thomsson · 2015-12-13 20:46:27

@novi-cjusz: w zasadzie o to mi chodziło, nieprecyzyjnie to napisałem

morfik · 2015-12-13 20:59:50

A co do sprawdzania czy działa, to trzeba się zdać na sam init. Po to są usługi by uzależniać je od siebie. Wtedy jak jakaś kluczowa nie zadziała, to wszystkie pozostałe również się nie odpalą. Można sobie sprawdzać ręcznie przez iptables -nvL, czy iptables -S ale ja tam wolę konsolę na pulpicie i wywołanie tego poniższego polecenia:

Kod:

journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager |
ccze -m ansi && journalctl -n 0 -f | ccze -m ansi

Wygląda to mniej więcej tak:

Wtedy łatwo zauważyć, że coś jest nieodpalone tuż po zalogowaniu się w systemie.

Można by pewnie dać też w cron co 10min :

Kod:

# iptables -S -t filter | wc -l
52

I weryfikować tę liczbę odpowiednio dla każdej tablicy. xD

Ostatnio edytowany przez morfik (2015-12-13 21:20:56)

Novi-cjusz · 2015-12-15 10:13:22

@morfik
U mnie wyglada to niestety inaczej:

Kod:

root@debian:/home/robin# journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager |
> ccze -m ansi && journalctl -n 0 -f | ccze -m ansi
bash: ccze: command not found
root@debian:/home/robin#

Dodatkowe info:

Kod:

root@debian:/home/robin# systemctl status systemd-journald
● systemd-journald.service - Journal Service
   Loaded: loaded (/lib/systemd/system/systemd-journald.service; static)
   Active: active (running) since Tue 2015-12-15 08:02:29 GMT; 1h 19min ago
     Docs: man:systemd-journald.service(8)
           man:journald.conf(5)
 Main PID: 215 (systemd-journal)
   Status: "Processing requests..."
   CGroup: /system.slice/systemd-journald.service
           └─215 /lib/systemd/systemd-journald

Dec 15 08:02:29 debian systemd-journal[215]: Runtime journal is using 8.0M (…M).
Dec 15 08:02:29 debian systemd-journal[215]: Runtime journal is using 8.0M (…M).
Dec 15 08:02:29 debian systemd-journal[215]: Journal started
Dec 15 08:02:31 debian systemd-journal[215]: Permanent journal is using 24.0…G).
Dec 15 08:02:33 debian systemd-journal[215]: Time spent on flushing to /var ....
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
Hint: Some lines were ellipsized, use -l to show in full.
root@debian:/home/robin#

Ostatnio edytowany przez Novi-cjusz (2015-12-15 10:22:03)

uzytkownikubunt · 2015-12-15 15:43:38

2467

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:14)

Novi-cjusz · 2015-12-15 22:28:10

Skad mialem wiedziec ze ccze to: http://lintut.com/colorize-log-files-on-linux-using-ccze-tool/

Zainstalowalem i teraz jest:

Kod:

 root@debian:/home/robin# journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager |
> > ccze -m ansi && journalctl -n 0 -f | ccze -m ansi
-- Logs begin at Sat 2015-12-12 11:42:26 GMT, end at Tue 2015-12-15 21:17:01 GMT. -- 
Dec 15 21:11:40 debian iceweasel.desktop[6179]: WARNING: content window passed to PrivateBrowsingUtils.isWindowPrivate. Use isContentWindowPrivate instead (but only for frame scripts). 
Dec 15 21:11:40 debian iceweasel.desktop[6179]: pbu_isWindowPrivate@resource://gre/modules/PrivateBrowsingUtils.jsm:25:14 
Dec 15 21:11:40 debian iceweasel.desktop[6179]: nsBrowserAccess.prototype.openURI@chrome://browser/content/browser.js:15030:21 
Dec 15 21:12:52 debian org.gnome.zeitgeist.Engine[1137]: ** (zeitgeist-datahub:1324): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required 
Dec 15 21:13:48 debian org.gnome.zeitgeist.Engine[1137]: ** (zeitgeist-datahub:1324): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required 
Dec 15 21:16:17 debian su[6569]: Successful su for root by robin 
Dec 15 21:16:17 debian su[6569]: + /dev/pts/0 robin:root 
Dec 15 21:16:17 debian su[6569]: pam_unix(su:session): session opened for user root by robin(uid=1000) 
Dec 15 21:17:01 debian CRON[7052]: pam_unix(cron:session): session opened for user root by (uid=0) 
Dec 15 21:17:01 debian CRON[7053]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly) 
Dec 15 21:17:01 debian CRON[7052]: pam_unix(cron:session): session closed for user root 
bash: -m: command not found

Profil kolorow musze poprawic.
Musze jeszcze wyjasnic co znaczy

Kod:

bash: -m: command not found

Ostatnio edytowany przez Novi-cjusz (2015-12-15 23:00:00)

Novi-cjusz · 2016-02-03 11:18:37

Wracam do tematu iptables. Optymalizacja skryptu sposrod wielu zasad wymaga min zeby:

1 - na poczatku lancucha byly regoly szczegolowe a na koncu ogolne - prosze o slowo wyjasnienia lub przyklad.
2 - najczestsze dopasowania na poczatku - jw.
3 - najprawdopodobniejsze powinny byc ustawione najwczesniej - jw.

Bede bardzo wdzieczny wszystkim za kilka pomocnych slow.

Ostatnio edytowany przez Novi-cjusz (2016-02-03 11:19:10)

morfik · 2016-02-03 16:15:18

Robisz tak jak uważasz za stosowne, a potem patrzysz w staty i wnioski wyciągasz co do kolejności reguł. Prawda jest taka, że kolejność ma trzeciorzędne znaczenie, przynajmniej jeśli ten fw opiera się o stany pakietów. No chyba, że masz bardzo obciążony serwer www, który akceptuje setki tysięcy połączeń na minutę. xD W domowych warunkach, to nie ma znaczenia czy ta reguła ze stanem NEW do serwera www będzie 100 pozycji wcześniej czy później.

Tu jest przykład jak wydajność zapory spada wraz z ilością reguł: http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/ . Wątpię byś naskrobał 1000-2000 reguł by w ogóle zobaczyć różnicę. xD

Novi-cjusz · 2016-02-03 18:52:21

Oczywiscie ze nie stworze 1000 regol;-)
Tym bardziej, ze sa regoly zagniezdzone i moga byc nawet kilkustopniowo.
Poczytalem jednak o ogolnych zasadach budowy optymalnego konfigu regol iptables. Jest tego ok 20 zasad.
Iptables mnie przesladuje, znalazlem najbardziej adekwatne (moim zdaniem) porownanie, tj iptables sa jak samochody: mozna je budowac pod katem zadan do wykonania.Extremalnie, elastyczne i skuteczne a zarazem darmowe.
Szkoda, ze wg statystyk iptables uzywa ok 0,4% a SELinuxa jak pisza ponad 99% rynku. Dlaczego tak jest?
Mam wiele pytan, ale Koledzy zaraz mnie odesla do mana a tam tez na wszystko nie ma odpowiedzi np:
- czy ip4v i ip6v sie komunikuja?
- co z conntrackiem w wersji ip6v ?
- relacja tresci pliku sysctl.conf do regol firewalla. Czesc problematyki sie powtarza. Jak do tego podejsc?

Kod:

 Sysctl.conf Hardening – Prevents syn-flood attacks and other network abuses.

#Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.

# Disables packet forwarding
net.ipv4.ip_forward=0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Disables the magic-sysrq key
kernel.sysrq = 0

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 15

# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800

# Turn off the tcp_window_scaling
net.ipv4.tcp_window_scaling = 0

# Turn off the tcp_sack
net.ipv4.tcp_sack = 0

# Turn off the tcp_timestamps
net.ipv4.tcp_timestamps = 0

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable bad error message Protection
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1

# Increases the size of the socket queue (effectively, q0).
net.ipv4.tcp_max_syn_backlog = 1024

# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 1440000

# Allowed local port range
net.ipv4.ip_local_port_range = 16384 65536

# Turn on execshield
kernel.exec-shield=1
kernel.randomize_va_space=1

After you make the changes to the file you need to run /sbin/sysctl -p and sysctl -w net.ipv4.route.flush=1 to enable the changes without a reboot.

The rules were taken from: http://ipsysctl-tutorial.frozentux.net/ipsysctl-tutorial.html

- po polsku to chyba nic nie ma na ten temat?
- co jest najslabszym punktem iptables biorac pod uwage skutecznosc obrony?

Ta tabelka z opoznieniami z twojego linku, robi wrazenie. W zaleznosci od kryterum roznice rzedu od kilkunastu do kilkudziesieciu razy.
Natomiast zastanawiam sie jak to jest praktycznie rozwiazane< stworzenie 5000 regol? Recznie? Mozna to jakos zautomatyzowac? Jak znalezc niewlasciwa regole, jak tym administrowac?

Ostatnio edytowany przez Novi-cjusz (2016-02-03 19:25:57)

Forum Debian Users Gang

Ogłoszenie

#1 2015-12-11 20:42:45

Novi-cjusz - Użytkownik

iptables - komunikaty

Kod:

#2 2015-12-12 17:26:34

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

Kod:

#3 2015-12-12 19:04:09

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

Kod:

Kod:

Kod:

Kod:

#4 2015-12-12 19:14:33

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

#5 2015-12-13 02:56:54

Pakos - Członek DUG

Re: iptables - komunikaty

Kod:

Kod:

#6 2015-12-13 13:24:38

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

Kod:

#7 2015-12-13 18:41:51

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

Kod:

#8 2015-12-13 18:45:51

thomsson - Dyskutant

Re: iptables - komunikaty

Kod:

#9 2015-12-13 18:49:49

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

#10 2015-12-13 19:09:09

yossarian - Szczawiożerca

Re: iptables - komunikaty

thomsson napisał(-a):

Kod:

#11 2015-12-13 19:47:47

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

Kod:

#12 2015-12-13 19:52:01

yossarian - Szczawiożerca

Re: iptables - komunikaty

Kod:

#13 2015-12-13 19:57:21

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

Novi-cjusz napisał(-a):

#14 2015-12-13 19:58:13

uzytkownikubunt - Zbanowany

Re: iptables - komunikaty

#15 2015-12-13 20:01:08

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

uzytkownikubunt napisał(-a):

Kod:

Kod:

#16 2015-12-13 20:16:04

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

#17 2015-12-13 20:25:14

yossarian - Szczawiożerca

Re: iptables - komunikaty

Kod:

#18 2015-12-13 20:46:27

thomsson - Dyskutant

Re: iptables - komunikaty