Как Вам мои правила iptables (iptables)

[d1mak]

Вот собственно какой вопрос поставил я себе centos 5.4 и решил я через него раздать инет в локалку. Раньше работал только с freebsd и тамошим ipfw. Но вот решил перейти на линух. Подскажите правильно я настроил iptables или может чтото лишнее. Буду обоснованной критике ))).
Что мне нужно
1)пока тока натроить INPUT FORWARD
2)ssh
3)ftp
4)vnc
5)и еще в дальнейшем эта машина будет заменять и мой рабочий комп

# Generated by iptables-save v1.3.5 on Wed Dec 23 16:37:43 2009
*nat
:PREROUTING ACCEPT [12:2319]
:POSTROUTING ACCEPT [71:4558]
:OUTPUT ACCEPT [80:5661]
### "Это NAT
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 192.168.0.3
COMMIT

*filter
:INPUT DROP [19:2599]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [9:1103]
:services - [0:0]
### ну это 127.0.0.1
-A INPUT -i lo -j ACCEPT
### Это пропускаю норм. соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
### Это моя цепочка сам не знаю зачем сделал ) просто решил попробовать
-A INPUT -j services
### nmap показал что у меня открыты эти порты хотя по дефолту вроде как drop что мне не очень понятно? Но я всетаки решил их закрыть
-A OUTPUT -p tcp -m tcp --sport 111 -j DROP
-A OUTPUT -p tcp -m tcp --sport 631 -j DROP
-A OUTPUT -p tcp -m tcp --sport 766 -j DROP
-A OUTPUT -p tcp -m tcp --sport 2207 -j DROP
-A OUTPUT -p tcp -m tcp --sport 2208 -j DROP
-A OUTPUT -p tcp -m tcp --sport 5810 -j DROP
-A OUTPUT -p tcp -m tcp --sport 5811 -j DROP
-A OUTPUT -p tcp -m tcp --sport 6010 -j DROP
-A OUTPUT -p tcp -m tcp --sport 6011 -j DROP

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
### dns
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
### http
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
### https
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
###icq
-A OUTPUT -p tcp -m tcp --dport 5190 -j ACCEPT
### ftp только с определенного айпишника
-A services -s ххх.ххх.ххх.ххх -p tcp -m tcp --dport 21 -j ACCEPT
###ssh
-A services -p tcp -m tcp --dport 22 -j ACCEPT
###ну это мне vnc нужен аж целых 2
-A services -p tcp -m tcp --dport 5910 -j ACCEPT
-A services -p tcp -m tcp --dport 5911 -j ACCEPT
COMMIT

Вот собственно и все пока до цепочки forward еще не добрался интересно правильно ли я это сделал.

[mandreika]

аплодируем
аплодируем

кончили аплодировать

[panas]

не совсем понятно... значит из сети по любому порту в нет лезь, а машине, на которой сам собираешься работать перекрыл весь кислород...
попробуй почитать iptables-tutorial-1.1.19, там все описано

[Alex2ndr]

1. Если политики по умолчанию DROP то дополнительные дропающие правила обычно не нужны(только чтобы сделать исключение в каком-то более общем правиле - редко встречается). Насчет ваших портов можете не беспокоиться - iptables ничего не пропустит. Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).
2. Пока цепочка services тут без всякой пользы - можно было просто в INPUT оставить. Посмотрим на дальнейшие правила - может вы найдете ей применение.

[neol]

Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).

там выше -A INPUT -i lo -j ACCEPT

[Alex2ndr]

Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).

там выше -A INPUT -i lo -j ACCEPT

У меня тоже - но только скажите мне какой смысл запускать nmap с локальной машины? Я всегда с другой машины запускаю.

[Voral]

1. Если политики по умолчанию DROP то дополнительные дропающие правила обычно не нужны(только чтобы сделать исключение в каком-то более общем правиле - редко встречается).

ИМХО, если правил много (да даже и не много), что бы пакет не проходил лишние правила.

[d1mak]

аплодируем
аплодируем

кончили аплодировать

Спасибо )). Без ваших коментариев я б даже не знал че делать.))

[d1mak]

не совсем понятно... значит из сети по любому порту в нет лезь, а машине, на которой сам собираешься работать перекрыл весь кислород...
попробуй почитать iptables-tutorial-1.1.19, там все описано

Дело в том что эта машина будет использоваться еще и как терминалый сервер VNC , и мне нужно чтоб терминальные пользователт могли лазить только по определенным портам наружу. Но пока я еще не разобрался как это сделать (видимо фильрация по UID). На счет машин в сети то я еще ими не занимался а просто дал им доступ в инет. Спасибо за ссылку на iptables-tutorial-1.1.19(с этого и начал), изучаю )) но пока не все понятно

Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).

там выше -A INPUT -i lo -j ACCEPT

У меня тоже - но только скажите мне какой смысл запускать nmap с локальной машины? Я всегда с другой машины запускаю.

Я запустил чтобы узнать какие порты слушают.

[d1mak]

1. Если политики по умолчанию DROP то дополнительные дропающие правила обычно не нужны(только чтобы сделать исключение в каком-то более общем правиле - редко встречается). Насчет ваших портов можете не беспокоиться - iptables ничего не пропустит. Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).
2. Пока цепочка services тут без всякой пользы - можно было просто в INPUT оставить. Посмотрим на дальнейшие правила - может вы найдете ей применение.

Сделал OUTPUT в INPUT, жить стало проще) , остановил службы которые мне не нужны но остался порт 770tcp ни как не могу найти кто его использует(какая служба) ? Может подскажете а то уже весь инет перелопати а решения не нашел?

[mandreika]

1. Если политики по умолчанию DROP то дополнительные дропающие правила обычно не нужны(только чтобы сделать исключение в каком-то более общем правиле - редко встречается). Насчет ваших портов можете не беспокоиться - iptables ничего не пропустит. Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).
2. Пока цепочка services тут без всякой пользы - можно было просто в INPUT оставить. Посмотрим на дальнейшие правила - может вы найдете ей применение.

Сделал OUTPUT в INPUT, жить стало проще) , остановил службы которые мне не нужны но остался порт 770tcp ни как не могу найти кто его использует(какая служба) ? Может подскажете а то уже весь инет перелопати а решения не нашел?

netstat -anp

[d1mak]

1. Если политики по умолчанию DROP то дополнительные дропающие правила обычно не нужны(только чтобы сделать исключение в каком-то более общем правиле - редко встречается). Насчет ваших портов можете не беспокоиться - iptables ничего не пропустит. Не знаю как у вас nmap смог увидеть внутрисистемные порты(у меня например не видит - но может я просто не умею его готовить).
2. Пока цепочка services тут без всякой пользы - можно было просто в INPUT оставить. Посмотрим на дальнейшие правила - может вы найдете ей применение.

Сделал OUTPUT в INPUT, жить стало проще) , остановил службы которые мне не нужны но остался порт 770tcp ни как не могу найти кто его использует(какая служба) ? Может подскажете а то уже весь инет перелопати а решения не нашел?

netstat -anp

Спасибо надо будет попробоать )

[lovejoi]

Добрые люди может подскажите: вобшем в офисе стаит фаирвол на линуксе (Red hat) и еше несколька серверов.Ранше я мог из дома заходить на эти серваки,как я понимаю мой IP был прописан на фаирволе но случилась проблема и мой провайдер поменял мне IP и теперь я немагу заходить в сетку дистанциоона.Ну а наш сис админ кто создал эту сеть ушел в другую фирму на повышение и я остался один.Может найдется добрый человек кто мне сможет обьяснить где находится тот фаил в фаирволе где я смагу поменять свой старый IP на новый.В линуксе я навичек так основные команды знаю.

[mandreika]

Зависит от Дистрибутива, см в init.d или /etc/network/