LINUX.ORG.RU
ФорумAdmin

Кашмары... :( iptables sux!? HEEELP!


0

0

Кароче непонятки... стоит iptables:

$ iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- 10.10.10.0/24 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0/0

DROP tcp -- !127.0.0.1 0.0.0.0/0 tcp dpt:3306

---------------------------------

Как видно запрещено все, кроме локалхоста. Я прав?

Сканим локалхост (127.0.0.1) с машины где это стоит (10.10.10.1):

nmap -sT 127.0.0.1

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )

Port State Service

3306/tcp open mysql

-----------------------

Смотрим другой интерфейс: nmap -sT 10.10.10.1

Port State Service

3306/tcp filtered mysql

-----------------------

Вроде работает.

Теперь странность, смотрим с других машин (сеть одна):

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Port State Service

3306/tcp open mysql

---------------------------

Почему open??? Ведь в iptables явно указано: ! 127.0.0.1 (все кроме lo)

При чем в iptables еще маскарад настроен и работает! Нихрена не догоняю.

Получается что файрвол не работает! Где собака порылась???

anonymous

Вот не нужно сразу писать: "iptables sux!?"
почитай iptables-tutorial
так вот там написано, по каким цепочкам идут пакеты в различн. случаях
насколько я помню, при маскарадинге пакет идет не через input,
а через forward (это в таблице filter)
Соответственно там его и пускать/не пускать нужно

neshura
()

ОК. Отключаю маскарад. Все равно такая же фигня. Не работает именно фильтрация... В ядре все включено...

anonymous
()
Ответ на: комментарий от anonymous

iptables -A INPUT -p tcp -s allowed_host -d you_host -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -d you_host -j DROP И у меня все работает.....

anonymous
()

"Теперь странность, смотрим с других машин (сеть одна):
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Port State Service
3306/tcp open mysql "
Какой у другой машины IP? Если сеть одна, то 10.10.10.ip ?
Тогда для этого открыто правилом:
"ACCEPT all -- 10.10.10.0/24 0.0.0.0/0"
Оно у тебя появляется раньше твоих DROP,
поэтому оно и срабатывает.
И еще iptables -L -n -v -x
показывает число прошедших пакетов через правила, попробуй там
посмотреть, через что у тебя идет по увеличению числа пакетов
при обращении на этот 3306

neshura
()

просто внимательнее надо быть, а не сразу в форум писать "суксь"

Chain INPUT (policy ACCEPT) target prot opt source destination

ACCEPT all -- 10.10.10.0/24 0.0.0.0/0 (приходит пакет из сетки 10.10.10.xxx.... ой, мы его пропускаем) хммм, а чего еще хотим? ужо позно другие правила писать. DROP all -- 0.0.0.0/0 0.0.0.0/0 DROP tcp -- !127.0.0.1 0.0.0.0/0 tcp dpt:3306

GPF
()

Да ладно, со всеми бывает.
Зато помогли вот человеку - надеюсь :-))

neshura
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.