Мне надо дать доступ по ssh, ftp, и что-б был ping моей тачки
вот мой конфиг:
#####################################################
#Устанавливаем политику по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Разрешаем icmp-request\reply сообщения
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
#Разрешаем ssh по сети 192.168.0.0/24
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.0/24 --sport 22 -j ACCEPT
#Пускаем всех из сети 192.168.0.0/24 на FTP
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport ftp -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport ftp -j ACCEPT
#Без открытого порта ftp-data Interner-Exporer отказывается соединяться, зато Mozilla и Firefox бегают на ура
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.0.0/24 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
#############################################################################
# iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Закоментировал потому-что соединение происходит с 10-15 секундной задержкой пришлось убрать -m state --state
# ESTABLISHED,RELATED - вместо этого использую строку ниже, как сделать правильно не знаю
#############################################################################
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j ACCEPT
#####################################################
Всё вроде нормально за исключением последней строчки - получается что я
оставляю потенциальную дыру для троянов выше 1024 порта. Подскажите
пожайлуста как написать лучше ?
Помогите с NetFilter'om
Модераторы: SLEDopit, Модераторы разделов
-
Torgovec
- Сообщения: 11
Помогите с NetFilter'om
Сколько волка не корми, а у слона всё-равно больше !
-
flook
- Сообщения: 585
- Статус: Просто flook
Re: Помогите с NetFilter'om
Ну видимо
-A OUTPUT трам пам пам -m state --state RELATED,ESTABLISHED -j ACCEPT
?
-A OUTPUT трам пам пам -m state --state RELATED,ESTABLISHED -j ACCEPT
?
В каждом из нас спит гений... и с каждым днем все крепче...
-
Torgovec
- Сообщения: 11
Re: Помогите с NetFilter'om
Я написал, что это пробовал, появляется большая задержка при обращении к FTP
#############################################################################
# iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Закоментировал потому-что соединение происходит с 10-15 секундной задержкой пришлось убрать -m state --state
# ESTABLISHED,RELATED - вместо этого использую строку ниже, как сделать правильно не знаю
#############################################################################
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j ACCEPT
#############################################################################
# iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Закоментировал потому-что соединение происходит с 10-15 секундной задержкой пришлось убрать -m state --state
# ESTABLISHED,RELATED - вместо этого использую строку ниже, как сделать правильно не знаю
#############################################################################
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j ACCEPT
Сколько волка не корми, а у слона всё-равно больше !
-
dustcore
- Сообщения: 171
Re: Помогите с NetFilter'om
Я написал, что это пробовал, появляется большая задержка при обращении к FTP
абсолютно та же фигня...
абсолютно та же фигня...
с песней по жизни
-
Torgovec
- Сообщения: 11
Re: Помогите с NetFilter'om
To dustcore:
Я разобрался в чём было дело, сейчас всё работает. Умные люди мне посоветовали заносить все
в LOG с таким правилом:
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j LOG --log-pprefix "INPUT packets"
и с таким :
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j LOG --log-pprefix "ALLINPUT packets"
Оказалось что сервер обращается к машине клиенту со своего какого-то 32ХХХ произвольного порта на порт 113 соответственно клиент отвечает, а политика по-умолчанию дропает все его ответы, из-за этого происходит большая задержка.
спасает следующее:
iptables -A INPUT -p tcp -d 192.168.0.0/24 --sport 113 -m state --state ESTABLISHED,RELATED -j ACCEPT
З.Ы.
Посмотри за что отвечает порт 113 в /etc/services и тебе будет смешно что мы до этого не доперли
Я разобрался в чём было дело, сейчас всё работает. Умные люди мне посоветовали заносить все
в LOG с таким правилом:
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j LOG --log-pprefix "INPUT packets"
и с таким :
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j LOG --log-pprefix "ALLINPUT packets"
Оказалось что сервер обращается к машине клиенту со своего какого-то 32ХХХ произвольного порта на порт 113 соответственно клиент отвечает, а политика по-умолчанию дропает все его ответы, из-за этого происходит большая задержка.
спасает следующее:
iptables -A INPUT -p tcp -d 192.168.0.0/24 --sport 113 -m state --state ESTABLISHED,RELATED -j ACCEPT
З.Ы.
Посмотри за что отвечает порт 113 в /etc/services и тебе будет смешно что мы до этого не доперли
Сколько волка не корми, а у слона всё-равно больше !