Konfiguracja iptables

Meo · Post autor: **Meo** » 25 paź 2012, 18:56

Ok jakiegoś czasu staram się skonfigurować firewalla, ale nie znalazłem odpowiedzi w siei na kilka pytań.

Moje reguły:

#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP

#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP

#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT

#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

#Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http
# iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Wynik po iptables -L:

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

1. Czytając różne artykuły wywnioskowałem, że reguła poniżej otwiera porty tylko gdy są używane przeze mnie, a później je zamyka. Dobrze zrozumiałem?
Jeśli tak to po co i jakie to ma znaczenie w praktyce otwieranie na stałe portu 80?

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

2. Pomimo otwarcia portu 80, skanery pokazują, że jest zamknięty.

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ethanak · Post autor: **ethanak** » 25 paź 2012, 19:07

a co słucha na 80?

Meo · Post autor: **Meo** » 25 paź 2012, 19:10

Na tym porcie HTTP działa.

jackblack · Post autor: **jackblack** » 28 paź 2012, 12:05

Napisales:

... reguła poniżej otwiera porty tylko gdy są używane przeze mnie, a później je zamyka.

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Używane przez Ciebie to znaczy należą do połączenia generowanego przez Ciebie (Ty łączysz się do jakiegoś www). Wtedy wysyłasz pakiet TCP w stanie NEW z ustawioną flagą SYN - tworzysz nowe połączenie. Tamten serwer www odpowiada Ci TCP z flagami SYN,ACK ale juz nie NEW no i na koniec Twoja maszyna wysyla do niego TCP z flagą ACK. Teraz będzie GET i pobierzesz strone www.
Od tego momentu to połączenie jest już w stanie: -m state --state ESTABLISHED.
Jesli połączenie przerwiesz (zamkniesz przegladarke www) połączenie jest konczone i likwidowane jest połączenie ESTABLISHED. To właśnie to później jest zamykane w zasadzie chodzi o stan połączenia.
Połączenia do twojego serwera będą wyglądały identycznie (tylko strony się zmieniają) jednak sam port będzie na serwerze ciągle otwarty.
To co napisalem i duzo wiecej jest tu http://www.frozentux.net/iptables-tutor ... CTERISTICS

Otwarte porty: sudo netstat -untap.

Konfiguracja iptables

Konfiguracja iptables

Re: Konfiguracja iptables

Re: Konfiguracja iptables

Re: Konfiguracja iptables

Kto jest online