Все тот же IPtables (UDP пакеты проходят)

[kanvi]

Кто хорошо знаком с iptables, подскажите плиз, почему broadcast UDP пакеты проходят (именно 137-139)?

вот собственно сам firewall, уже урезаный по минимум:

echo 0 > /proc/sys/net/ipv4/ip_forward
$IPT -F
$IPT -X

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

$IPT -A INPUT -p tcp -m pkttype --pkt-type broadcast -j DROP
$IPT -A INPUT -p udp -m pkttype --pkt-type broadcast -j DROP
$IPT -A INPUT -p tcp -i eth0 --dport 137:139 -j DROP
$IPT -A INPUT -p udp -i eth0 --dport 137:139 -j DROP

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j REJECT

$IPT -A INPUT --fragment -p ICMP -j DROP
$IPT -A OUTPUT --fragment -p ICMP -j DROP

$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type source-quench -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type source-quench -j ACCEPT

$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type parameter-problem -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type parameter-problem -j ACCEPT

$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 6000:6063 -j DROP --syn

$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT

$IPT -A INPUT -i $INET_IFACE -p tcp --source-port $UNPRIPORTS --destination-port 25 -j ACCEPT
$IPT -A OUTPUT -o $INET_IFACE -p tcp ! --syn --source-port 25 --destination-port $UNPRIPORTS -j
ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 25 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT ! --syn

$IPT -A INPUT -i $INET_IFACE -p tcp --source-port $UNPRIPORTS --destination-port 110 -j ACCEPT
$IPT -A OUTPUT -o $INET_IFACE -p tcp ! --syn --source-port 110 --destination-port $UNPRIPORTS -j
ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 110 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 110 -j ACCEPT ! --syn

$IPT -A INPUT -i $INET_IFACE -p tcp --source-port $UNPRIPORTS --destination-port 22 -j ACCEPT
$IPT -A OUTPUT -o $INET_IFACE -p tcp ! --syn --source-port 22 --destination-port $UNPRIPORTS -j
ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 22 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport 1020:1023 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1020:1023 --sport 22 -j ACCEPT ! --syn

[kanvi]

мда, не густо конечно местные гуру отзываются.... <_<
вот одна из идей почему видно из iptraf пересылку пакетов далее по сети, а внутри самом серваке они рубаются
http://www.linux.org.ru/view-message.jsp?m...&anonymous=hide

[gordon01]

Дай лучше iptables-save так не удобночитаемо.

[kanvi]

пожалуйста, если так удобней

# Generated by iptables-save v1.2.11 on Tue Jun 27 11:52:41 2006
*mangle
:PREROUTING ACCEPT [6141:6641694]
:INPUT ACCEPT [6040:6623818]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4530:5734393]
:POSTROUTING ACCEPT [4530:5734393]
COMMIT
# Completed on Tue Jun 27 11:52:41 2006
# Generated by iptables-save v1.2.11 on Tue Jun 27 11:52:41 2006
*nat
:PREROUTING ACCEPT [1235:134260]
:POSTROUTING ACCEPT [61:3687]
:OUTPUT ACCEPT [61:3687]
COMMIT
# Completed on Tue Jun 27 11:52:41 2006
# Generated by iptables-save v1.2.11 on Tue Jun 27 11:52:41 2006
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m pkttype --pkt-type broadcast -j DROP
-A INPUT -p udp -m pkttype --pkt-type broadcast -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --sport 67 --dport 68 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -f -j DROP
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 6000:6063 --tcp-flags SYN,RST,ACK SYN -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags SYN,RST,ACK SYN -j ACC
EPT
-A INPUT -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -m multiport --s
ports 80,443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK S
YN -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j AC
CEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 70 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 210 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j
ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1020:1023 --dport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j A
CCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 70 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 210 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 68 --dport 67 -j DROP
COMMIT

[gordon01]

Ну не знаю........ Вроде всё ОК. Как я помню tcpdump показывает пакеты, которые уже прошли через iptables, но могу и ошибаться.
А зачем правила на дроп, когда цепочки по-умолчанию и так это сделают?

[kanvi]

так вроде как делает, но реально они приходят и уходят с сетевухи...
вот пробую их так запихнуть принудиловкой, а в ответ тоже самое...

[gordon01]

Точно уходят? А то уже было такое, что не мог заблокировать bootp трафик. Мучился долго.
В конечном счёте понял, что он идёт только на модем и убрал его из статистики. Но у вас-то не статистика...

[kanvi]

Точно уходят? А то уже было такое, что не мог заблокировать bootp трафик. Мучился долго.
В конечном счёте понял, что он идёт только на модем и убрал его из статистики. Но у вас-то не статистика...

Если верить iptraf то уходят!!! До сих пор iptraf всегда мне правду говорил...там четко видно пришел пакет и ушел через текущий интерфейс.