Firewall (iptables) (хакер mustdie)

Готовые решения для многих вопросов, которые очень часто задаются снова и снова.

Модератор: Модераторы разделов

Аватара пользователя
Kaster Troy
Сообщения: 193
Статус: Кроме звезд
Контактная информация:

Re: Firewall (iptables)

Сообщение Kaster Troy »

(Vladislav @ Пятница, 03 Декабря 2004, 7:58) писал(а):http://gazette.linux.ru.net/rus/articles/i...s-tutorial.html


Оно самое!! :thumbsup:
ИМХО Но.. только не факт, что это хакер
Глубина, глубина, я не твой.. отпусти меня глубина..
Спасибо сказали:
Vurd
Сообщения: 8

Re: Firewall (iptables)

Сообщение Vurd »

Доброе время суток!
Пните меня в нужном направлении по такому вот вопросу:
Есть Gentoo2004.2. Есть iptables v 1.2.11.
Делаю маскарадинг(работает), потом iptables-save. Ну оно выводит состояние всей таблицы iptables (я так понимаю, для того чтобы видно было, что сохраняешь :))
А вот после ребута - iptables-restore доооолго думает, потом отдает ком.строку, но с таблицами ничего не происходит! Правила не восстанавливаются! Абидна!
В /var/log/messages - по этому поводу ничего.....
В куда хоть смотреть-то?
Спасибы!
Gentoo - RULEZZZ ;)
Спасибо сказали:
Аватара пользователя
Warderer
Модератор
Сообщения: 1056
Статус: киберпИнгвин на гусеничном ходу
ОС: Debian unstable

Re: Firewall (iptables)

Сообщение Warderer »

iptables-save > /etc/iptables.save
iptables-restore < /etc/iptables.save
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания.
И восемь строк матом...(бесплатно)
Спасибо сказали:
Аватара пользователя
Frippi
Сообщения: 26

Re: Firewall (iptables)

Сообщение Frippi »

Есть сервер на Mandrake 10. Настроена некоторая политика безопасности при помощи iptables, надо было ее поменять и появились следующие трудности: после сноса всех правил во всех цепочках, удаления всех цепочек, парестройки политики всех цепочек на accept сервер не пингуется из локальной сети. До этого он тоже не пинговался, но я думал, что это iptables фильтруют, в чем дело?
иЗвИНиТе зА НеРОвНыЙ ПОчеРк!

SuSE 9.2 Professional, 2.6.8-24-default, KDE 3.3.0
Спасибо сказали:
Аватара пользователя
serg_sk
Бывший модератор
Сообщения: 2749
Статус: <3 Anime
ОС: Gentoo Linux <3
Контактная информация:

Re: Firewall (iptables)

Сообщение serg_sk »

Может быть покажете правила или правило для фаерволла, какие или какое на ваше мнение мешают пинговать сервер
Не ждали?! А я приперся!
Помойка Gentoo'шника
-------
Спасибо сказали:
Аватара пользователя
madskull
Сообщения: 1019
Статус: Экс-металлюга
Контактная информация:

Re: Firewall (iptables)

Сообщение madskull »

Возможно, отключены ответы на пинги в ядре. Посмотри
cat /proc/sys/net/ipv4/icmp_echo_ignore_all

или
sysctl net.ipv4.icmp_echo_ignore_all

Должен быть ноль.
ArchLinux / IceWM
Спасибо сказали:
Аватара пользователя
Frippi
Сообщения: 26

Re: Firewall (iptables)

Сообщение Frippi »

На первый вариант: no such file or directory, на второй "=1". А теперь подскажите, как это сделатьь нулем? Думаю просто создать файл - не поможет...
иЗвИНиТе зА НеРОвНыЙ ПОчеРк!

SuSE 9.2 Professional, 2.6.8-24-default, KDE 3.3.0
Спасибо сказали:
Аватара пользователя
madskull
Сообщения: 1019
Статус: Экс-металлюга
Контактная информация:

Re: Firewall (iptables)

Сообщение madskull »

Все очень просто: sysctl --help -- разве не помогло?

sysctl -w net.ipv4.icmp_echo_ignore_all=0
ArchLinux / IceWM
Спасибо сказали:
Аватара пользователя
Frippi
Сообщения: 26

Re: Firewall (iptables)

Сообщение Frippi »

Я просто слегка "удаленно", доступа к серверу пока нет :) Последний вопрос, эти изменения сохранятся, или их надо будет вставлять в скрипт инийиализации (-w очень похоже на write...)?
иЗвИНиТе зА НеРОвНыЙ ПОчеРк!

SuSE 9.2 Professional, 2.6.8-24-default, KDE 3.3.0
Спасибо сказали:
Аватара пользователя
madskull
Сообщения: 1019
Статус: Экс-металлюга
Контактная информация:

Re: Firewall (iptables)

Сообщение madskull »

Поискать в загрузочных скриптах, где ЭТО выставляется в единицу, так как по умолчанию должен быть ноль.
Или спросить у мандраковцев, где лежит конфиг для sysctl. Вполне возможно, что как и везде в /etc/sysctl.conf.
ArchLinux / IceWM
Спасибо сказали:
Аватара пользователя
Frippi
Сообщения: 26

Re: Firewall (iptables)

Сообщение Frippi »

Спасибо!
иЗвИНиТе зА НеРОвНыЙ ПОчеРк!

SuSE 9.2 Professional, 2.6.8-24-default, KDE 3.3.0
Спасибо сказали:
Teoretic
Сообщения: 14

Re: Firewall (iptables)

Сообщение Teoretic »

Доброго времени дня,
вопрос: недавно стал настраивать iptables и понял, что без connection state сидеть за файрволом грустно. Загрузил iptables последней версии(1.3.1) откомпилил (снеся ненавистный rpm'ник) и стал настраивать... На комманду

iptables -A INPUT -j ACCEPT -p TCP -m conntrack --ctstate RELATED

был выдан ответ
iptables: No chain\target\match by that name

я естесственно обиделся и стал пробовать другие варианты :) но реакция не изменилась.

ИТОГО: я чайник и что-то сделал не так ИЛИ я рулю и это баг(чего не хотелось бы)?
Спасибо сказали:
Аватара пользователя
Horrible
Сообщения: 256
Статус: Emacs geek
ОС: Emacs
Контактная информация:

Re: Firewall (iptables)

Сообщение Horrible »

Незнаю, у меня версия файерволла 1.2.11 и модуль state подругому называется и имеет другой синтаксис:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

А со строчкой
-m conntrack --ctstate RELATED
вобще впервый раз встречаюсь.
Спасибо сказали:
Teoretic
Сообщения: 14

Re: Firewall (iptables)

Сообщение Teoretic »

УУУУпс...Спасибо.
Вроде и man page читал и туториалы. Там вообще-то модули для connection tracking называют и ctstate и state :) и написано что они друг-друга юзают, а модуль ctstate описывается первым. Кажется надо мне внимательнее читать и лучше вникать :( и пробовать больше вариантов :()
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

Доброго времени суток!

Имеется удаленный сервер Fedora Core 2 Linux, к которому есть доступ Root (SSH).
Имеется некое локальное оборудование, генерирующее UDP-пакеты.
Известен номер порта, на который генерируются пакеты.
Задачка: сделать на сервере шлейф, так, чтобы приходящие UDP-пакеты c определенного IP-адреса на определенный порт заворачивались обратно на IP-адрес отправителя на тот же порт.
Как этого достичь?
Куда смотреть и какие доки читать?

Я на этом форуме впервые, так что если здесь есть раздел, более подобающий моему вопросу, перенаправьте.

Заранее премного благодарен :) .
Спасибо сказали:
Аватара пользователя
vidok
Сообщения: 124

Re: Firewall (iptables)

Сообщение vidok »

iptables
2 варианта:
1 либо заблокировать их выход наружу с машины
2 либо с помощью DNAT перенаправить их
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
Mandrake Linux 10.1
Windows Server 2003
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

vidok писал(а):
26.10.2005 15:12
2 либо с помощью DNAT перенаправить их
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET

Спасибо большое, похоже, это то, что нужно.
Спасибо сказали:
Аватара пользователя
Bolverk
Бывший модератор
Сообщения: 1571
ОС: Cygwin
Контактная информация:

Re: Firewall (iptables)

Сообщение Bolverk »

Что Вы имеете в виду под шлейфом?
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

Bolverk писал(а):
26.10.2005 16:47
Что Вы имеете в виду под шлейфом?

Возможно, я неправильно применил термин.
Представьте, что у меня есть две веревки до сервера. По одной я передаю пакеты, по другой принимаю. Если на стороне сервера поставить на веревки "замыкатель", "шлейф", то все, что я послал, мне и вернется. Но мне нужно вернуть только определенные пакеты (идущие в определенный порт), поэтому я и сказал "шлейф для пакетов UDP".
Не знаю, как технически грамотно назвать эту операцию.
Спасибо сказали:
Аватара пользователя
rolano
Сообщения: 845
Статус: еще один юзер FreeBSD
ОС: какая-то

Re: Firewall (iptables)

Сообщение rolano »

Вообще в iptables была возможность "зеркалить" пакеты (действие mirror), но вроде находится в тестировании и никто не поручается за его корректность
Я знаю только то, что ничего не знаю ... потому и обречен вечно учиться.
Спасибо сказали:
Аватара пользователя
rolano
Сообщения: 845
Статус: еще один юзер FreeBSD
ОС: какая-то

Re: Firewall (iptables)

Сообщение rolano »

Ты в манах пошукай
Я знаю только то, что ничего не знаю ... потому и обречен вечно учиться.
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

Не все пока получилось. Если никаких записей в iptables нет, то при попытке отправить UDP-пакет в сторону сервера приходит отлуп в виде ICMP-пакета (destination port unrechable).
Когда добавляю действие DNAT в таблицу nat, то вообще ничего назад не приходит.

Вот что выдает листинг iptables (кусочек):
...
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT udp -- 0.0.0.0/0 A1.B1.C1.D1 udp dpt:XXXX to:A2.B2.C2.D2:XXXX
...
Здесь A1.B1.C1.D1 - IP-адрес сервера, A2.B2.C2.D2 - IP-адрес моей машины, XXXX - UDP-порт. Подозреваю, что мой UDP-пакет, пройдя действие DNAT, подпадает под ACCEPT (из-за policy ACCEPT по умолчанию). Если это так, то напрашивается добавить в таблице filter цепочки FORWARD какую-нибудь запись, чтобы принудительно "пропихнуть" пакет во внешнюю сеть. Тем более, что об этом и в доке упоминается. Вот только не могу сообразить, как это сделать. Какие будут предложения?

P.S. Забыл, запись добавлял так:
iptables -t nat -A PREROUTING -p udp -d A1.B1.C1.D1 --dport XXXX -j DNAT --to-destination A2.B2.C2.D2:XXXX

P.P.S. И еще. У нас локалка из Win-машин с выходом в инет через отдельную машину, на которой стоит две сетевых карты и WinRoute. Так вот A2.B2.C2.D2 - это адрес моей машины в пределах локалки, т.е. типа 192.168.0.XX. Может здесь я чего-то не учел?

P.P.P.S. Про MIRROR в доке написано, что это может быть опасным из-за "зацикливания" пакетов и отсюда "сжирания" трафика за здорово живешь.
Спасибо сказали:
Аватара пользователя
rolano
Сообщения: 845
Статус: еще один юзер FreeBSD
ОС: какая-то

Re: Firewall (iptables)

Сообщение rolano »

ИМХО
1. Поскольку удаленный сервак не в локальной сети, то к нему пакеты приходят от внешнего адреса твоего шлюза в локалке. Когда удаленный сервер делает НАТ над твоим пакетом, то потом он не может его отмаршрутизировать.
2. А есть ли уверенность в том, что покет от местного сервера у удаленному идет по тому же ХХХХ порту, что и от машины в локалке к местному шлюзу?
Я знаю только то, что ничего не знаю ... потому и обречен вечно учиться.
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

rolano писал(а):
28.10.2005 14:36
ИМХО
1. Поскольку удаленный сервак не в локальной сети, то к нему пакеты приходят от внешнего адреса твоего шлюза в локалке. Когда удаленный сервер делает НАТ над твоим пакетом, то потом он не может его отмаршрутизировать.
А как же мне от удаленного сервера ICMP-пакеты приходят, если я указываю порт XXXY?

rolano писал(а):
28.10.2005 14:36
2. А есть ли уверенность в том, что покет от местного сервера у удаленному идет по тому же ХХХХ порту, что и от машины в локалке к местному шлюзу?
Думаю да, т.к. DNAT на уд. сервере реагирует на тот порт, который я задал в цепочке, и на который я посылаю UDP-пакет. В этом случае ничего не возвращается. Если же я пошлю пакет на другой порт, то мне (именно на мой внутренний IP-адрес) приходит отлуп в виде ICMP-пакета. Как я понимаю, удаленный сервер шлет пакет на наш шлюз, а он, в свою очередь, переправляет его мне. Отсюда вывод: если бы удаленный сервер возвращал UDP-пакет на адрес шлюза, то шлюз переправил бы его мне. Или я не прав?
Спасибо сказали:
Costa
Сообщения: 7

Re: Firewall (iptables)

Сообщение Costa »

Дополнительная информация: пробовал посылать UDP-пакеты с местного шлюза напрямую во внешний мир. Результат аналогичный, т.е. если номер порта в исходном пакете совпадает с установленным в iptables, то ничего не приходит, если указывать иной порт, то возвращается ICMP-пакет на IP-адрес местного шлюза. Отсюда вывод: местный шлюз не виноват. Тогда где же грабли? В iptables?

P.S. Одна особенность: в исходящем UDP-пакете я не контролирую source port, он вписывается приложением, как бог на душу положит. Но с другой стороны, этот порт и в iptables на удаленном сервере не контролируется, так что это не должно влиять. Но мало ли чего.
Спасибо сказали:
Marakesh
Сообщения: 2

Re: Firewall (iptables)

Сообщение Marakesh »

Я самый самый чайник !!!! - вопрос такой : подскажите ( доступно) как открыть порты 2106 и 7777....... что ето вобще такое и где его брать ?? то что на сервере ето я понял..а вот как открыть и что ето вобще такое нет ! подскажите чайнику..не обижайте
Спасибо сказали:
Аватара пользователя
clx
Сообщения: 3121
Статус: Think Different !
ОС: Mac OS X

Re: Firewall (iptables)

Сообщение clx »

А почитать туториал по iptables религия не позволяет?
iMac 20" Core Duo.
Спасибо сказали:
Marakesh
Сообщения: 2

Re: Firewall (iptables)

Сообщение Marakesh »

clx писал(а):
08.11.2005 23:05
А почитать туториал по iptables религия не позволяет?

прости но я даже не понял о чем ты ! я ж говорю не шарю совсем в компах !!!
подскажи где почитать....
Спасибо сказали:
Mixer[MsK]
Сообщения: 315
ОС: Gentoo Linux

Re: Firewall (iptables)

Сообщение Mixer[MsK] »

Cоветую почитать:
http://www.books.ru/shop/books/81390
Phenom II X4 945 & 2 GB DDR3 > Gentoo 2008.0 > 2.6.30-gentoo-r5 > KDE 4.3.1
Asus eee 1003HAG > eeebuntu 3 Standart(Ubuntu 9.04) > 2.6.28-14 > GNOME 2.26.1
Спасибо сказали:
Аватара пользователя
clx
Сообщения: 3121
Статус: Think Different !
ОС: Mac OS X

Re: Firewall (iptables)

Сообщение clx »

http://www.opennet.ru/search.shtml?method=...&words=iptables
А также поиск по форуму.
iMac 20" Core Duo.
Спасибо сказали:
Закрыто