Открытие исходящих/входящих соеденений

0

3

Использую iptables, требуется для системы Sourcebans

  iptables-save
# Generated by iptables-save v1.4.14 on Fri Jan 15 06:16:02 2016
*filter
:INPUT DROP [29527:2977199]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [344125:1033594567]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:fail2ban-ssh - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ba                                                                                                                     n-MAIL
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -s 179.60.147.48/32 -p udp -m multiport --dports 27000:27099 -j ACCEPT
-A INPUT -s 179.60.147.48/32 -p tcp -m multiport --dports 27000:27099 -j ACCEPT
-A INPUT -s 179.60.147.227/32 -p udp -m multiport --dports 27000:27099 -j ACCEPT
-A INPUT -s 179.60.147.227/32 -p tcp -m multiport --dports 27000:27099 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 179.60.147.227/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 110 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8433 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8083 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 12000:12100 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -j RETURN
-A fail2ban-VESTA -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT

Ссылка

←	pfsense игнорирует resolv.conf

Одинаковые маршруты с разной метрикой

→

мда. тяжело жить без ipset. Все что tcp/udp sport/dport можно запихнуть в 4 правила. Да и fail2ban c ipset уже давно умеет работать.

особенно радует строка в конце INPUT "-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT"

нафига она в этом случае ?

vel ★★★★★
(15.01.16 15:49:23 MSK)

Ок.

thesis ★★★★★
(15.01.16 16:09:54 MSK)

Ссылка

Ответ на: комментарий от vel 15.01.16 15:49:23 MSK

особенно радует строка в конце INPUT "-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT"

А в чем простите Вы увидели проблему?

anc ★★★★★
(15.01.16 19:20:00 MSK)

Вопрос задать забыли?

anc ★★★★★
(15.01.16 19:21:00 MSK)

Ссылка

Ответ на: комментарий от anc 15.01.16 19:20:00 MSK

А в чем простите Вы увидели проблему?

очевидно, проблема в том, что правило в конце. Потому что оно там не нужно. Потому что пришедший в рамках уже установленного tcp соединения пакет один хрен пройдёт все правила проверки. На что будет потрачено процессорное время. Вместо того, чтобы проскочить по признаку