Forum Debian Users Gang

wytrych · 2020-04-24 21:07:17

Jak wyżej.

Ostatnio edytowany przez wytrych (2020-05-01 21:23:39)

Jacekalex · 2020-04-24 21:39:55

Narzędzia dla lamerów często powodują problemy.

naucz się używać sensowniejszych poleceń:

Kod:

iptables-save

oraz

Kod:

iptables-restore

RTFM:

Kod:

man iptables-save

Kod:

man iptables-restore

a narzędzia dla lamerów i idiotów typu iptables-persistent wywal w kosmos.

Generalnie jak oczekujesz, że system będzie sam mysłał za Ciebie, to nie miej potem pretensji, że nie zawsze mu wszystko wychodzi tak, jakbyś sobie tego życzył. :P

To by było na tyle.
:P

Ostatnio edytowany przez Jacekalex (2020-04-24 21:40:50)

wytrych · 2020-04-24 22:09:28

Ok.

Ostatnio edytowany przez wytrych (2020-05-01 21:23:52)

megabajt · 2020-04-25 00:45:06

Kod:

$ cat /usr/share/doc/nftables/examples/workstation.nft
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;

        # accept any localhost traffic
        iif lo accept

        # accept traffic originated from us
        ct state established,related accept

        # activate the following line to accept common local services
        #tcp dport { 22, 80, 443 } ct state new accept

        # accept neighbour discovery otherwise IPv6 connectivity breaks.
        ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

        # count and drop any other traffic
        counter drop
    }
}

Jacekalex · 2020-04-25 14:47:26

Cały FW u mnie:

Kod:

# root ~> egrep -v '^#|^$' /etc/nftables/nftables.rules  
flush ruleset
table inet filter {
    set systemdns {
        type ipv4_addr
        elements = { 1.0.0.1, 1.1.1.1,
                 8.8.4.4, 8.8.8.8,
                 208.67.220.220, 208.67.222.222 }
    }
    set youtubeslow {
        type ipv4_addr
        flags interval
        elements = { 62.252.170.140, 62.252.170.141,
                 62.252.170.142, 62.252.170.143,
                 62.252.170.144, 62.252.170.145,
                 62.252.170.146, 62.252.170.147,
                 62.253.3.0/24, 173.194.55.0/24,
                 206.111.0.0/16 }
    }
    set systemdns6 {
        type ipv6_addr
        elements = { 2001:4860:4860::8844,
                 2001:4860:4860::8888,
                 2620:0:ccc::2,
                 2620:0:ccd::2 }
    }
       set outallow { 
            type ipv4_addr
             flags interval
            elements = { 217.70.184.38 , 185.52.170.0/24, 34.255.157.6 , 52.208.16.85, 52.84.198.0/24, 63.239.232.208/28, 63.239.232.224/30 }
           }
       set outallow6 { 
             type ipv6_addr
             flags interval
            elements = { 2a02:26f0:d8::6851:3c3b, 2a02:26f0:d8::6851:3c28, 2600:1409:6800::1728:c648, 2600:1409:6800::1728:c611, }
           }
    chain input {
        type filter hook input priority 0; policy drop;
        ct state established,related accept
        iif "lo" accept
        ip saddr 192.168.1.21 tcp dport 1716 counter accept
        ip saddr 192.168.1.21 udp dport 1716 counter accept
        ip6 saddr fe80::/10 tcp dport 1716 counter accept
        ip6 saddr fe80::/10 udp dport 1716 counter accept
        ip6 nexthdr ipv6-icmp counter accept
        ip protocol icmp icmp type { destination-unreachable, router-advertisement, router-solicitation, time-exceeded, parameter-problem } accept
    }
    chain forward {
        type filter hook forward priority 0; policy drop;
                ct state established,related accept
                oifname "net" counter accept 
    }
    chain output {
        type filter hook output priority 200; policy drop;
        ct state established,related accept
        oifname "lo" accept
        ip daddr @systemdns counter accept
        ip daddr @youtubeslow counter reject
        ip6 daddr @systemdns6 counter accept
        ip daddr @outallow counter accept
        ip6 daddr @outallow6 counter accept
        ip protocol icmp counter accept
        ip6 nexthdr ipv6-icmp counter accept
        cgroup 1 counter accept
        cgroup 2 counter accept
        cgroup 3 counter accept
        cgroup 4 counter accept
        cgroup 5 counter accept
        cgroup 6 counter accept
        cgroup 7 counter accept
        cgroup 8 counter accept
        cgroup 9 counter accept
        cgroup 11 counter accept
               ct state new log prefix "OUTPUT Zablokowany: " group 0 queue-threshold 20 reject 
           reject
               }
}
table ip nat {
    chain prerouting {
        type nat hook prerouting priority 0; policy accept;
    }
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        oifname "net" counter masquerade
    }
}

I działa nie tyle przez moduły nftables, co przez przeportowany z OpenBSD moduł BPFILTER.

Przy okazji filtruje OUTPUT przez mechanizm cgroup, wyjątkiem są appki środowiska KDE, gdzie przez KDE-frameworks nie da się filtrować osobno Chocok a osobno Akregatora, tylko najwyżej całe KDE łącznie.
Wszystkie programy widżety KDE używają biblioteki kio-http wywoływanej przez kdeinit.

Pozdro

Ostatnio edytowany przez Jacekalex (2020-04-25 16:42:21)

hi · 2020-04-29 13:54:48

SOA#1

Kod:

root@debian:~# systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
     Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/netfilter-persistent.service.d
             └─iptables.conf
     Active: active (exited) since Wed 2020-04-29 12:36:30 CEST; 1h 17min ago
       Docs: man:netfilter-persistent(8)
    Process: 496 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
   Main PID: 496 (code=exited, status=0/SUCCESS)

kwi 29 12:36:34 debian netfilter-persistent[503]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
kwi 29 12:36:34 debian netfilter-persistent[503]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start
kwi 29 12:36:28 debian systemd[1]: Starting netfilter persistent configuration...
kwi 29 12:36:30 debian systemd[1]: Finished netfilter persistent configuration.
root@debian:~# lsb_release -a && uname -a
No LSB modules are available.
Distributor ID:    Debian
Description:    Debian GNU/Linux bullseye/sid
Release:    unstable
Codename:    sid
Linux debian 5.5.0-2-amd64 #1 SMP Debian 5.5.17-1 (2020-04-15) x86_64 GNU/Linux

Jacekalex napisał(-a):
Cały FW u mnie:

podajesz swoją konfigurację FW publicznie serio? To raczej dane wrażliwe no ale ok ...

Ostatnio edytowany przez hi (2020-04-29 14:19:26)

Jacekalex · 2020-04-29 17:52:22

podajesz swoją konfigurację FW publicznie serio? To raczej dane wrażliwe no ale ok ...

Dane wrażliwe? gdzie?
Informacja jedynie, że nie drzwi są zamknięte zawsze jest publiczna.

Kluczy prywatnych SSH czy GnuPG nie publikuję. :P

Ostatnio edytowany przez Jacekalex (2020-04-29 17:52:33)

Forum Debian Users Gang

Ogłoszenie

#1 2020-04-24 21:07:17

wytrych - Użytkownik

Uszkodzony iptables-persistent

#2 2020-04-24 21:39:55

Jacekalex - Podobno człowiek...;)

Re: Uszkodzony iptables-persistent

Kod:

Kod:

Kod:

Kod:

#3 2020-04-24 22:09:28

wytrych - Użytkownik

Re: Uszkodzony iptables-persistent

#4 2020-04-25 00:45:06

megabajt - Użytkownik

Re: Uszkodzony iptables-persistent

Kod:

#5 2020-04-25 14:47:26

Jacekalex - Podobno człowiek...;)

Re: Uszkodzony iptables-persistent

Kod:

#6 2020-04-29 13:54:48

hi - Zbanowany

Re: Uszkodzony iptables-persistent

Kod:

Jacekalex napisał(-a):

#7 2020-04-29 17:52:22

Jacekalex - Podobno człowiek...;)

Re: Uszkodzony iptables-persistent

Stopka forum