вообщем проблема вот такая.
есть набор провил которые закидываются в скрипт.
И при его запуска постояно вылетают ошибки, что воспользуйтесь справочником и т.д.
Но самое интереснок, что если их поодиночке запускать через консоль все нормально запускается,
неодной ошибки. ОС убунта 8.10
что ето может быть ?
iptables проблема (проблема с правилами)
Модераторы: SLEDopit, Модераторы разделов
-
Prometei
- Сообщения: 139
- ОС: i love Linux & macosx
iptables проблема
M$ Windows для пользователей и геймеров
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
-
ford1813
- Сообщения: 383
- ОС: Slackware
Re: iptables проблема
Prometei писал(а): ↑17.03.2009 23:02вообщем проблема вот такая.
есть набор провил которые закидываются в скрипт.
И при его запуска постояно вылетают ошибки, что воспользуйтесь справочником и т.д.
Но самое интереснок, что если их поодиночке запускать через консоль все нормально запускается,
неодной ошибки. ОС убунта 8.10
что ето может быть ?
есть набор провил которые закидываются в скрипт.
И при его запуска постояно вылетают ошибки, что воспользуйтесь справочником и т.д.
Я либо верно прочитал или неверно. Что значит закидываются ? Однократно? Постоянно? Непонятно.
Что за ошибки?
Скрипт военная тайна?
-
pelmen
- Сообщения: 1268
- ОС: debian
Re: iptables проблема
Вероятно, правила попадают в скрипт самостоятельно и динамически.
Скорее всего нужно воспользоваться справочником и т.д.
Скорее всего нужно воспользоваться справочником и т.д.
-
maxen
- Сообщения: 48
- ОС: Debian -> Gentoo
Re: iptables проблема
Prometei писал(а): ↑17.03.2009 23:02вообщем проблема вот такая.
есть набор провил которые закидываются в скрипт.
И при его запуска постояно вылетают ошибки, что воспользуйтесь справочником и т.д.
Но самое интереснок, что если их поодиночке запускать через консоль все нормально запускается,
неодной ошибки. ОС убунта 8.10
что ето может быть ?
Покажите для начала скрипт.
-
Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: iptables проблема
Форум предназначен только для тем, авторы которых сами хотят решить проблему. Темы с просьбами готовых решений на ложечке будут удаляться.
i Уведомление от модератора Ленивая Бестолочь Автору темы: скрипт и вывод сообщений об ошибках в студию, не морочте людям голову, иначе тема закрывается.
секретные места в скрипте (если они есть) прикройте звездачками.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
-
Prometei
- Сообщения: 139
- ОС: i love Linux & macosx
Re: iptables проблема
вот скрипт
Код: Выделить всё
#/bin/bash
#for system
iptables="/sbin/iptables"
#network interface
INET_IFACE="eth0"
INTIF="vmnet1"
INTIF2="vmnet8"
#inpriveleged ports
UNPRIPORTS="1024:65535"
start_fw()
{
#come traffic by the core
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
#transparent proxy for dansguardian
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner root -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080
#transparent proxy for vmware
iptables -A INPUT -i $INTIF -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -A INPUT -i $INTIF2 -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i $INTIF2 -p tcp --dport 80 -j REDIRECT --to-ports 8080
#basic protection
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state ! -i lo --state NEW -j DROP
iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I PREROUTING -i eth0 -s 10.0.0.1/32 -j ACCEPT
#protect from some attacks
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
iptables -A INPUT -p UDP -j RETURN
iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT
iptables -A INPUT --fragment -p ICMP -j DROP
iptables -A OUTPUT --fragment -p ICMP -j DROP
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type source-quench -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type parameter-problem -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 6000:6063 -j DROP --syn
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 783
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 3310
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 10000
iptables -A OUTPUT -p udp -m udp -o eth0 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 53 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p udp -m udp -i eth0 --dport $UNPRIPORTS --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65353 --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 113 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 113 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 10/h -j LOG --log-prefix 'Ping of Death attack??? '
#open ports
#ftp (21)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 21 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn
# torrent (10010)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 10010 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 10010 -j ACCEPT ! --syn
# IMAP4 client (143)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 143 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn
# SSH client (22)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 22 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 22 -j ACCEPT ! --syn
#synergy (24800)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 24800 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 24800 -j ACCEPT ! --syn
#webmin (81)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 81 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 81 -j ACCEPT ! --syn
#HTTP/HTTPS client (80, 443)
iptables -A OUTPUT -p tcp -m tcp -m multiport -o eth0 --sport $UNPRIPORTS -j ACCEPT --dports 80,443
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
#radio server(8000)
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 8000 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 8000 -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 135 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 135 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 136 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 136 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 137 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 137 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 138 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 139 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 139 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 445 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 445 --sport $UNPRIPORTS -j ACCEPT ! --syn
# Разрешаем finger, whois, gorper, wais. Traceroute - разрешаем себе, к нам не проломятся - запрещено. Telnet
# запретил, чтобы соблазна не было передавать пароли прямым текстом.
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 20 --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 23 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 23 -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 79 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 79 -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 43 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 43 -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 70 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 70 -j ACCEPT ! --syn
iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 210 --sport $UNPRIPORTS -j ACCEPT
iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 210 -j ACCEPT ! --syn
iptables -A OUTPUT -p udp -m udp -o eth0 --dport 33434:33523 --sport 32769:65535 -j ACCEPT
# Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
iptables -A OUTPUT -p udp -m udp -o eth0 --dport 67 --sport 68 -j ACCEPT
iptables -A INPUT -p udp -m udp -i eth0 --dport 68 --sport 67 -j ACCEPT
}
case "$1" in
start) echo -n "Starting firewall: iptables"
start_fw
echo "."
;;
stop) echo -n "Stopping firewall: iptables"
iptables -F
iptables -X
echo "."
;;
save) echo -n "Saving firewall: iptables"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting firewall: iptables"
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."
;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
echo "."
;;
*) echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
exit 1
;;
esac
exit 0M$ Windows для пользователей и геймеров
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
-
Prometei
- Сообщения: 139
- ОС: i love Linux & macosx
Re: iptables проблема
а вот, что происходит когда запускаеш скрипт
ccыллается на то что отсутсвуют символы но со скрипта выше видно что все присутсвует.....
что делат?
Код: Выделить всё
root@laptop:~# /etc/init.d/rc.firewall start
'Starting firewall: iptablesiptables v1.4.0: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Unknown arg `--syn
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Unknown arg `--syn
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Unknown arg `--syn
Try `iptables -h' or 'iptables --help' for more information.
'ad argument `
Try `iptables -h' or 'iptables --help' for more information.
.
root@laptop:~#ccыллается на то что отсутсвуют символы но со скрипта выше видно что все присутсвует.....
что делат?
M$ Windows для пользователей и геймеров
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
-
ford1813
- Сообщения: 383
- ОС: Slackware
Re: iptables проблема
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.4.0: Unknown arg `--syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 6000:6063 -j DROP --syn
Что после выполнения данных правил в консоли?
Выделите все строчки в которых у вас в конце присутствует --syn
и выполните их руками .
или временно в скрипте закомментируйте.
'ptables v1.4.0: Unknown arg `--syn
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 6000:6063 -j DROP --syn
Что после выполнения данных правил в консоли?
Выделите все строчки в которых у вас в конце присутствует --syn
и выполните их руками .
или временно в скрипте закомментируйте.
-
Prometei
- Сообщения: 139
- ОС: i love Linux & macosx
Re: iptables проблема
Prometei писал(а): ↑18.03.2009 15:55вот скрипт
Код: Выделить всё
#/bin/bash #for system iptables="/sbin/iptables" #network interface INET_IFACE="eth0" INTIF="vmnet1" INTIF2="vmnet8" #inpriveleged ports UNPRIPORTS="1024:65535" start_fw() { #come traffic by the core echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT DROP #transparent proxy for dansguardian iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner root -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080 #transparent proxy for vmware iptables -A INPUT -i $INTIF -p tcp --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-ports 8080 iptables -A INPUT -i $INTIF2 -p tcp --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -i $INTIF2 -p tcp --dport 80 -j REDIRECT --to-ports 8080 #basic protection iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state ! -i lo --state NEW -j DROP iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -I PREROUTING -i eth0 -s 10.0.0.1/32 -j ACCEPT #protect from some attacks iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT iptables -A INPUT -p UDP -j RETURN iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT iptables -A INPUT --fragment -p ICMP -j DROP iptables -A OUTPUT --fragment -p ICMP -j DROP iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type source-quench -j ACCEPT iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type source-quench -j ACCEPT iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type parameter-problem -j ACCEPT iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type parameter-problem -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport 6000:6063 -j DROP --syn iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 783 iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 3310 iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 -j DROP --dports 10000 iptables -A OUTPUT -p udp -m udp -o eth0 --dport 53 --sport $UNPRIPORTS -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 53 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p udp -m udp -i eth0 --dport $UNPRIPORTS --sport 53 -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65353 --sport 53 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 113 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport 113 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 10/h -j LOG --log-prefix 'Ping of Death attack??? ' #open ports #ftp (21) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 21 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn # torrent (10010) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 10010 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 10010 -j ACCEPT ! --syn # IMAP4 client (143) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 143 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn # SSH client (22) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 22 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 22 -j ACCEPT ! --syn #synergy (24800) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 24800 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 24800 -j ACCEPT ! --syn #webmin (81) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 81 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 81 -j ACCEPT ! --syn #HTTP/HTTPS client (80, 443) iptables -A OUTPUT -p tcp -m tcp -m multiport -o eth0 --sport $UNPRIPORTS -j ACCEPT --dports 80,443 iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn #radio server(8000) iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 8000 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 8000 -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 135 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 135 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 136 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 136 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 137 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 137 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 138 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 138 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 139 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 139 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 445 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 445 --sport $UNPRIPORTS -j ACCEPT ! --syn # Разрешаем finger, whois, gorper, wais. Traceroute - разрешаем себе, к нам не проломятся - запрещено. Telnet # запретил, чтобы соблазна не было передавать пароли прямым текстом. iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 20 --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 23 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 23 -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 79 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 79 -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 43 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 43 -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 70 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 70 -j ACCEPT ! --syn iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 210 --sport $UNPRIPORTS -j ACCEPT iptables -A INPUT -p tcp -m tcp -i eth0 --dport $UNPRIPORTS --sport 210 -j ACCEPT ! --syn iptables -A OUTPUT -p udp -m udp -o eth0 --dport 33434:33523 --sport 32769:65535 -j ACCEPT # Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический. iptables -A OUTPUT -p udp -m udp -o eth0 --dport 67 --sport 68 -j ACCEPT iptables -A INPUT -p udp -m udp -i eth0 --dport 68 --sport 67 -j ACCEPT } case "$1" in start) echo -n "Starting firewall: iptables" start_fw echo "." ;; stop) echo -n "Stopping firewall: iptables" iptables -F iptables -X echo "." ;; save) echo -n "Saving firewall: iptables" iptables-save > /etc/rules-save echo "." ;; restart) echo -n "Restarting firewall: iptables" iptables -F iptables -X cat /etc/rules-save | iptables-restore echo "." ;; reload|force-reload) echo -n "Reloading configuration files for firewall: iptables" echo "." ;; *) echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload" exit 1 ;; esac exit 0
у меня опять такой вопрос с етим скриптом запустить запустил,
но при исполнении скрипта блокируется весь траффик почему так?
я понял что виновны вот ети строки
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
вот у меня и вопрос почему при политиках блокируется весь траффик при том что у меня есть открытые порты.
тот же 80 порт.....
M$ Windows для пользователей и геймеров
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
MacosX для дизайнеров и музыкантов
Linux для программистов и хакеров
*BSD для серверов
-
Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: iptables проблема
i Уведомление от модератора переношу в "администрирование для начинающих".
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
-
ford1813
- Сообщения: 383
- ОС: Slackware
Re: iptables проблема
iptables -L -nv
iptables-save -c
Покажи.
Да и вообще советую скрипт собственноручно разобрать Вам по полочкам от и до.
А лучше прочтите
http://www.opennet.ru/docs/RUS/iptables/
Иначе получите ответ , потому что так написано в скрипте.
iptables-save -c
Покажи.
Да и вообще советую скрипт собственноручно разобрать Вам по полочкам от и до.
А лучше прочтите
http://www.opennet.ru/docs/RUS/iptables/
Иначе получите ответ , потому что так написано в скрипте.
-
Mage-Warrior
- Сообщения: 869
- Статус: Семь раз понюхай, один раз откуси!
- ОС: SlackWare 12.1
Re: iptables проблема
Что значит "блокируется весь трафик"? Нельзя подключиться извне? Нельзя никуда подключиться вообще по eth0?
Если Вас беспокоит, что к Вам нельзя подключиться по порту 80, то посмотрите сюда:
Этим правилом Вы (или не Вы) зарубили все возможные новые подключения к какому-либо порту Вашей рабочей станции с какого-либо интерфейса, кроме lo.
Поэтому следующие старания в виде:
... оказываются тщетными, так как пакет уже отброшен.
P.S. Комментирование указанной строки поможет, полагаю. Есть ощущение, что скрипт не Ваших рук дело. Разберитесь в нем досконально с правилами, выкиньте ненужное и непонятное закомментируйте. Почаще пользуйтесь -j LOG на этапе тестирования! Есть просто отличный мануал по iptables на Opennet - сам его прочел, не жалею ни капли. Полезен как handbook.
Если Вас беспокоит, что к Вам нельзя подключиться по порту 80, то посмотрите сюда:
iptables -A INPUT -m state ! -i lo --state NEW -j DROP
Этим правилом Вы (или не Вы) зарубили все возможные новые подключения к какому-либо порту Вашей рабочей станции с какого-либо интерфейса, кроме lo.
Поэтому следующие старания в виде:
iptables -A OUTPUT -p tcp -m tcp -m multiport -o eth0 --sport $UNPRIPORTS -j ACCEPT --dports 80,443
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
... оказываются тщетными, так как пакет уже отброшен.
P.S. Комментирование указанной строки поможет, полагаю. Есть ощущение, что скрипт не Ваших рук дело. Разберитесь в нем досконально с правилами, выкиньте ненужное и непонятное закомментируйте. Почаще пользуйтесь -j LOG на этапе тестирования! Есть просто отличный мануал по iptables на Opennet - сам его прочел, не жалею ни капли. Полезен как handbook.
*- Большинство проблем, дружок, завсегда покажет лог! -*
-
pelmen
- Сообщения: 1268
- ОС: debian