iptables вопрос

0

1

написал скрипт с правилами для iptables для фалопомойки

#!/bin/bash

IPTABLES=/sbin/iptables

# сбрасываем все правила $IPTABLES -F

$IPTABLES -t nat -F

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем всё на локальном интерфейсе

#iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

#iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# разрешим входящие udp и icmp

$IPTABLES -A INPUT -p udp -j ACCEPT

$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -p tcp -m multiport --destination-port 139,22,80 -j ACCEPT

$IPTABLES -A INPUT -p tcp -m multiport --sport 139,22,80 -j ACCEPT

$IPTABLES -A INPUT -p tcp -m multiport --destination-port 10000 -j ACCEPT

$IPTABLES -A INPUT -p tcp -m multiport --destination-port 8112 -j ACCEPT

вот так все работает, а если сменить $IPTABLES -P OUTPUT ACCEPT на DROP то соединение по ssh пропадает,samba не монтируется.

так вот стоит ли OUTPUT менять на DROP,и почему при смене пропадает соединение хотя порт открыт

Ссылка

←	Посоветуйте текстовый редактор (plain text)

Compiz debian

→

Потому что правила в INPUT открывают порты только на вход, а для нормальной работы порты должны быть открыты на вход и выход. //К.О.

Рекомендую выставить везде -P ACCEPT и очистить цепочки. И не трогать iptables, пока документацию не осилишь.

nnz ★★★★
(11.09.10 15:29:02 MSD)

Простите, фалопомойка? :-)

По существу: вы суть-то iptables поняли? Через цепочку OUTPUT проходит весь исходящий трафик. Вот, собственно, если вы просто меняете правило по-умолчанию на DROP, то из вашего сервера не вылетит ни одного пакета. Нужны дополнительные правила.

Нужен ли DROP по-умолчанию на OUTPUT — это больше философский вопрос. Точнее, все зависит от конфигурации вашей сети и ваших потребностей.

teosub
(11.09.10 15:32:18 MSD)

Ответ на: комментарий от nnz 11.09.10 15:29:02 MSD

благодарю

nexus86 ★
(11.09.10 15:33:39 MSD) автор топика

Ссылка

Ответ на: комментарий от teosub 11.09.10 15:32:18 MSD

надож на чем-то тренироваться

nexus86 ★
(11.09.10 15:37:04 MSD) автор топика

Ссылка

так вот стоит ли OUTPUT менять на DROP,и почему при смене пропадает соединение хотя порт открыт

Запусти tcpdump и вопросы отпадут сами собой.

Это файлопомойка и является маршрутизатором? Если нет, оставь iptables в покое.

anton_jugatsu ★★★★
(12.09.10 22:45:37 MSD)

Ответ на: комментарий от anton_jugatsu 12.09.10 22:45:37 MSD

на чем прикажете отрабатывать практику по юзанию itables?

nexus86 ★
(13.09.10 14:44:59 MSD) автор топика

Ответ на: комментарий от nexus86 13.09.10 14:44:59 MSD

виртуальная машина не рассматривалась как полигон для тестов в принципе ?

izmena ★★
(13.09.10 15:09:39 MSD)

Ссылка

Ответ на: комментарий от nexus86 13.09.10 14:44:59 MSD

на чем прикажете отрабатывать практику по юзанию itables?

Ну уж точно не на домашней файлопомойке, которая ещё и за натом, да к тому же с одной сетевухой :) Чё на ней отрабатывать o_O

Virtualbox с debian (с 2-мя интерфейсами, один «врутрений») и какой-нибудь легковесный клиент, ну типа slitaz (интерфейс «внутреняя сеть») и вперед !!!

Но сначала, до просветления http://ru.wikipedia.org/wiki/Iptables

anton_jugatsu ★★★★
(13.09.10 18:37:34 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Посоветуйте текстовый редактор (plain text)

Desktop

Compiz debian

→

Похожие темы