IPTABLES правило RELATED,ESTABLISHED пропускает все подряд

0

3

Добрый вечер!

Подскажите, почему не работает должным образом правило:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

оно пропускает все как будто iptables -A INPUT -j ACCEPT

политика по умолчанию для INPUT - DROP



$IT -F
$IT -X
$IT -F -t nat
$IT -X -t nat
$IT -F -t mangle
$IT -X -t mangle

$ITNAT -A POSTROUTING -p ALL -s 192.168.1.0/24 -j MASQUERADE


#Allow all to all on loopback
$IT -A INPUT -s $LO -j ACCEPT
$IT -A INPUT -d $LO -j ACCEPT

#################################
#Set all filter politics to DROP
$IT -P INPUT DROP
$IT -P FORWARD DROP
$IT -P OUTPUT ACCEPT

$IT -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

$IT -A INPUT -p ICMP -d $INET_IP -j ACCEPT

дальше у меня идут разрешающие правила для конкретных портов

когда убираю правило для установленных соединений - все норм, пропускается только то, что разрешено. НО... блочатся ответы на запросы самого сервера(и сети за ним)

Ссылка

←	Работа с памятью в kvm

kvm адекватная скорость отрисовки без paththrough на intel hd4400

→

и сети за ним

Это не относится к INPUT. Давай вывод iptables-save

anonymous
(05.12.16 00:00:17 MSK)

Ответ на: комментарий от anonymous 05.12.16 00:00:17 MSK

root@[Linux]:/script# iptables-save
# Generated by iptables-save v1.4.12 on Mon Dec  5 00:02:07 2016
*mangle
:PREROUTING ACCEPT [26993:3199688]
:INPUT ACCEPT [7192:898159]
:FORWARD ACCEPT [19667:2290534]
:OUTPUT ACCEPT [7140:914298]
:POSTROUTING ACCEPT [26811:3205867]
:DDOS - [0:0]
-A PREROUTING -p udp -m udp --dport 53 -j DDOS
-A DDOS -m string --string "cnc" --algo bm --to 65535 -j DROP
-A DDOS -p udp -m udp --dport 53 -m state --state NEW -m string --hex-string "|0000020001|" --algo kmp --from 40 --to 45 -j DROP
COMMIT
# Completed on Mon Dec  5 00:02:07 2016
# Generated by iptables-save v1.4.12 on Mon Dec  5 00:02:07 2016
*nat
:PREROUTING ACCEPT [333:33619]
:INPUT ACCEPT [94:8692]
:OUTPUT ACCEPT [275:30588]
:POSTROUTING ACCEPT [261:27830]
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Dec  5 00:02:07 2016
# Generated by iptables-save v1.4.12 on Mon Dec  5 00:02:07 2016
*filter
:INPUT DROP [8:1332]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [288:34065]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d <MY_IP>/32 -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p ospf -j ACCEPT
-A INPUT -s 217.117.190.245/32 -p tcp -m tcp --dport 21 -j DROP
-A INPUT -s 217.117.190.244/32 -p tcp -m tcp --dport 21 -j DROP
-A INPUT -s 217.117.190.243/32 -p tcp -m tcp --dport 21 -j DROP
-A INPUT -d <MY_IP>/32 -p tcp -m multiport --dports 21,20,80,443,53,1723 -j ACCEPT
-A INPUT -d <MY_IP>/32 -p udp -m multiport --dports 53 -j ACCEPT
-A INPUT -d <MY_IP>/32 -p tcp -m state --state NEW -m multiport --ports 40000:60000 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p ospf -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p ospf -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
COMMIT
# Completed on Mon Dec  5 00:02:07 2016
root@[Linux]:/script#

dr0n
(05.12.16 00:06:24 MSK) автор топика

Ответ на: комментарий от dr0n 05.12.16 00:06:24 MSK

я извиняюсь за флуд, я нашел правило которое гадило

#$IT -A INPUT -d $INET_IP -m state --state NEW -p tcp -m multiport --ports 40000:60000 -j ACCEPT

это правило для FTP сервера, но почему оно пропускает 22, 3306 порты???

dr0n
(05.12.16 00:21:38 MSK) автор топика

Ссылка

Ответ на: комментарий от dr0n 05.12.16 00:06:24 MSK

-A INPUT -d <MY_IP>/32 -p tcp -m state --state NEW -m multiport --ports 40000:60000 -j ACCEPT

multiport ... [!] --ports port[,port|,port:port]... Match if either the source or destination ports are equal to one of the given ports.

Поменяй на --dports

anonymous
(05.12.16 00:23:00 MSK)

Ответ на: комментарий от anonymous 05.12.16 00:23:00 MSK

А, это было для ftp. Тогда это правило вообще можно удалить, RELATED,ESTABLISHED сделает все как надо

anonymous
(05.12.16 00:26:13 MSK)

Ответ на: комментарий от anonymous 05.12.16 00:26:13 MSK

так и сделал, спасибо

dr0n
(05.12.16 00:27:39 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Работа с памятью в kvm

Admin

kvm адекватная скорость отрисовки без paththrough на intel hd4400

→

Похожие темы