форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"iptables проблемма"	+/–
Сообщение от xservices (ok) on 13-Окт-10, 03:01
Добавил такую цепочку правил в iptbales iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT iptables -A INPUT -s 192.168.137.2 -j ACCEPT iptables -A INPUT -s 192.168.20.4 -j ACCEPT iptables -A INPUT -s 192.168.20.5 -j ACCEPT iptables -A INPUT -s 192.168.20.6 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -m icmp -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.20.5 iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited И все работает. Но кога убераю из нее iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT То все блокируеться и ssh в том числе.. Помогите модорнизировать 20.5 20.4 20.6 Это нат пакетов с внешнего на внтурнеений.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables проблемма"	+/–
Сообщение от xservices (ok) on 13-Окт-10, 07:14
По подсказке Павела, группирую правила За указание направления не говорить все укажу. #Разрешить уже установленные INPUT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Разрешить петлю iptables -A INPUT -i lo -j ACCEPT #Разрешить по входящие на порты 22  и 1194 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT #Разрешить входящие с 192.168.137.2 iptables -A INPUT -s 192.168.137.2 -j ACCEPT #Пропустить входящие icmp пакеты iptables -A INPUT -p icmp -m icmp -j ACCEPT #Остальной INPUT отклонять iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited #Пропустить уже установленные FORWARD iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #Разрешить форвард на порты iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT #Нат на внутреннию iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.20.5 #Остальной форвард отклонять iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited И вот когда убираю... iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Все что установленны он обрывает. И все и на 22 порт не подключишься и форвард не пашет запрешен и даже VPN отрубает.. Где я ошибся?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "iptables проблемма"	+/–
	Сообщение от Xaionaro (ok) on 13-Окт-10, 07:47
	>[оверквотинг удален] > DNAT --to-destination 192.168.20.5 > #Остальной форвард отклонять > iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited > И вот когда убираю... > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > Все что установленны он обрывает. > И все и на 22 порт не подключишься и форвард не пашет > запрешен и даже VPN отрубает.. > Где я ошибся? А почему вы считаете, что он должен вам разрешать 22-ой порт, когда вы убираете упомянутые правила? Он и не должен вас пускать. Вы разрешаете только NEW по 22-ому порту, а уже, например, ESTABLISHED не пропускаете. man iptabes /ESTABLISHED
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "iptables проблемма"	+/–
	Сообщение от Xaionaro (ok) on 13-Окт-10, 08:07
	> 20.5 > 20.4 > 20.6 > Это нат пакетов с внешнего на внтурнеений. P.S.: Что-то я не вижу в ваших правилах адрес 192.168.20.6. :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 13:18
	>> 20.5 >> 20.4 >> 20.6 >> Это нат пакетов с внешнего на внтурнеений. > P.S.: Что-то я не вижу в ваших правилах адрес 192.168.20.6. :) Затупил нет там 20.6 )))) сори )
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 13:17
	>[оверквотинг удален] >> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> Все что установленны он обрывает. >> И все и на 22 порт не подключишься и форвард не пашет >> запрешен и даже VPN отрубает.. >> Где я ошибся? > А почему вы считаете, что он должен вам разрешать 22-ой порт, когда > вы убираете упомянутые правила? Он и не должен вас пускать. Вы > разрешаете только NEW по 22-ому порту, а уже, например, ESTABLISHED не > пропускаете. > man iptabes /ESTABLISHED Ну я понимаю что это уже установленные с конкретно допустим моего ип сесия ssh. вот я убераю правила. жду пока сесия скинеться  и пытаюсь как NEW но сервер не пускает.. Или я что то из вида упускаю?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "iptables проблемма"	+/–
	Сообщение от Andrey Mitrofanov on 13-Окт-10, 15:27
	>> man iptabes /ESTABLISHED > Ну я понимаю что это уже установленные с конкретно допустим моего ип > сесия ssh. > Или я что то из вида упускаю? Да: "сессия" состоит из ip пакетов, правила [в -t filter] применяются к _каждому пакету ==> первый пакет "смотрится" правилом с NEW, все следующие - правилом с ETABLISHED. Угадай что, когда ты "убираю вот эту вот ненужную строчку", да?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "iptables проблемма"	+/–
	Сообщение от ze6ra (??) on 13-Окт-10, 08:16
	> Где я ошибся? в действии "И вот когда убираю..." верните на место.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 13:18
	>> Где я ошибся? > в действии "И вот когда убираю..." > верните на место. Когда все отвалилось так и сделал )))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "iptables проблемма"	+/–
Сообщение от tux2002 (ok) on 13-Окт-10, 12:17
В цепочке форвард лучше уточнить -d 192.168.20.4, -d 192.168.20.5 а то как то слишком общие правила.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 13:19
	> В цепочке форвард лучше уточнить -d 192.168.20.4, -d 192.168.20.5 а то как > то слишком общие правила. То есть лучше так? iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 2020 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.5 --dport 110 -j ACCEPT
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 13:35
	Спасибо всем так и сделал получилось так. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT iptables -A INPUT -s 192.168.137.2 -j ACCEPT iptables -A INPUT -p icmp -m icmp -j ACCEPT iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.4 --dport 2020 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW -m tcp -d 192.168.20.5 --dport 110 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j DNAT --to-destination 192.168.20.4 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.20.5 iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited У меня еще вопрос есть по улучшению вот тут iptables -A INPUT -s 192.168.137.2 -j ACCEPT я думаю еще указать интерфейс а то как то тоже по общему? Тоесть вот так iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT А вот ту у меня разрешения пропускать входящий icmp трафик. iptables -A INPUT -p icmp -m icmp -j ACCEPT Как его можно улучшить какой трафик icmp надо запретить а какой пропустить? Еще сталкнулся с большой проблеммой брутфорса паролей ssh Постоянно перебирают пароли. Думал сменить порт глупо. Ставить отдельный софт не правильно для меня. А вот в нете нашел много информации по iptables и по ssh brutforce Но правила так и не смог применить
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "iptables проблемма"	+/–
	Сообщение от Xaionaro (ok) on 13-Окт-10, 18:53
	>[оверквотинг удален] > DNAT --to-destination 192.168.20.4 > iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j > DNAT --to-destination 192.168.20.4 > iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j > DNAT --to-destination 192.168.20.5 > iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited > У меня еще вопрос есть по улучшению > вот тут > iptables -A INPUT -s 192.168.137.2 -j ACCEPT > я думаю еще указать интерфейс а то как то тоже по общему? Если хотите немного комильфо, то тогда делайте более разветлённые правила, используйте multiports. Лично у меня бы данные правила выглядяли бы совсем иначе, т.к. тут постоянно повторяются одни и те же проверки :) > Тоесть вот так > iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT > А вот ту у меня разрешения пропускать входящий icmp трафик. > iptables -A INPUT -p icmp -m icmp -j ACCEPT > Как его можно улучшить какой трафик icmp надо запретить а какой пропустить? Зависит от того, какие функции выполняет данный роутер. > Еще сталкнулся с большой проблеммой брутфорса паролей ssh > Постоянно перебирают пароли. > Думал сменить порт глупо. > Ставить отдельный софт не правильно для меня. > А вот в нете нашел много информации по iptables и по ssh > brutforce > Но правила так и не смог применить Ну тут есть 4 выхода: 1.) сменить порт, что вас не устраивает 2.) использовать внешнюю утилиту fail2ban, что вас не устраивает :) 3.) использовать hashlimit и recent в iptables и банить тех, кто слишком часто шлёт NEW (или по --syn) на 22-ой порт 4.) блокировать ssh и использовать port-knocking. Лично я в вашем случае использую "3" с возможностью обойти бан через port-knocking. Против бот-нетов, IMHO, подходит идеально.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "iptables проблемма"	+/–
	Сообщение от xservices (ok) on 13-Окт-10, 21:17
	>Зависит от того, какие функции выполняет данный роутер. Почтовый релей + VPN + проброс во внтуреннюю сеть портов >Ну тут есть 4 выхода: 3 устраивает но не могу активировать правило.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "iptables проблемма"	+/–
	Сообщение от tux2002 (ok) on 23-Окт-10, 12:14
	> iptables -A INPUT -s 192.168.137.2 -j ACCEPT > я думаю еще указать интерфейс а то как то тоже по общему? Я думаю лучше точнее, но предполагаю, что чем больше критериев в правиле фильтрации, тем больше ресурсов задействуется.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема