iptables - tylko ssh

Instalacja i konfiguracja oprogramowania sieciowego.
ODPOWIEDZ
witosxx
Piegowaty Guziec
Piegowaty Guziec
Posty: 5
Rejestracja: 28 kwie 2007, 21:44
Płeć: Mężczyzna
Wersja Ubuntu: 8.04
Środowisko graficzne: GNOME

iptables - tylko ssh

Post autor: witosxx »

Witam,

Mam następujący problem:
Chciałem ustawić sobie iptables tak żeby jedyny dozwolony ruch to były połączenia ssh na port 10000.

Problem jest taki że przy takich ustawieniach działa:

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             192.168.0.1       tcp spts:login:65535 dpt:10000 state NEW,ESTABLISHED 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  192.168.0.1        anywhere            tcp spt:10000 dpts:login:65535 state ESTABLISHED
A przy takich już nie:

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             192.168.0.1       tcp spts:login:65535 dpt:10000 state NEW,ESTABLISHED 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Jak widać jedyna zmiana to taka że łańcuch OUTPUT dostaje domyślne ACCEPT i zero reguł. I o dziwo tak nie działa ( nie mogę połączyć się z hostem z innego kompa ), a w pierwszym przypadku jest ok. Czy ktoś mógłby mi wytłumaczyć dlaczego tak się dzieje?
-AMD XP 1700+ / 256DDR RAM / GF2 MX400
-Ubuntu 8.04
Na górę
Awatar użytkownika
sulti
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 139
Rejestracja: 17 wrz 2007, 15:31
Płeć: Mężczyzna
Wersja Ubuntu: 12.10
Środowisko graficzne: Unity
Architektura: x86

Odp: iptables - tylko ssh

Post autor: sulti »

Pierwszy kod jest bez sensu. Ustawiasz polityki na DROP a w pierwszym kroku wpuszczasz cokolwiek. Całość jest generalnie trochę chaotyczna :)
Powinieneś zflushować cały iptables i zrobić:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -d 192.168.0.1 -j ACCEPT
You tried, and you failed, so the lesson is, never try.
Na górę
witosxx
Piegowaty Guziec
Piegowaty Guziec
Posty: 5
Rejestracja: 28 kwie 2007, 21:44
Płeć: Mężczyzna
Wersja Ubuntu: 8.04
Środowisko graficzne: GNOME

Odp: iptables - tylko ssh

Post autor: witosxx »

Nie jest bez sensu - te pierwsze linijki to jest dla ruchu na lo tylko tutaj tego nie pokazało :)

A takie ustawienia jak podałeś to pierwsze co próbowałem i właśnie tak jest problem, dopoki nie ustawię OUTPUT na drop i nie dodam tych 2 reguł jak w pierwszym poście...
-AMD XP 1700+ / 256DDR RAM / GF2 MX400
-Ubuntu 8.04
Na górę
Awatar użytkownika
sulti
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 139
Rejestracja: 17 wrz 2007, 15:31
Płeć: Mężczyzna
Wersja Ubuntu: 12.10
Środowisko graficzne: Unity
Architektura: x86

Odp: iptables - tylko ssh

Post autor: sulti »

Rozumiem, że ustawiasz to wszystko na serwerze (kompie o adresie 192.168.0.1) ?
Bo jeśli tak to nie widzę powodu, dla którego miałoby nie działać.. Że tak powiem - "u mnie działa" ;)
Jak nie wiesz gdzie Ci ruch ucieka na iptables to spróbuj podpatrzeć

Kod: Zaznacz cały

iptables -nvL
zobaczysz tam liczbę pakietów, trafiających do konkretnej reguły. Podpatrz gdzie Twoje ssh leci.
You tried, and you failed, so the lesson is, never try.
Na górę
ODPOWIEDZ

Wróć do „Sieci, serwery, Internet”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 30 gości