Закрыть выход компа в Интернет

0

2

Братья, есть несколько необычная задачка: как с помощью Iptables перекрыть в Jessie-компе любой выход в Интернет?
Ну почти любой, оставить на него только вход по SSH и VNC и только с определенного локального адреса типа 192.168.1.40.

Для чего это надо: Jessie-комп работает совершенно локально/ автономно от сети (так надо :-), и захожу на него c помощью отдельной USB-клавы с мышей, а смотрю на отдельном тусклом мониторе.
Это очень невдобно, поэтому хотелось бы заходить на него с нормального десктопа по SSH и VNC.
Но боюсь, что как только подключу эту Jessie к сетке, из нее в локалку и в Тырнет утекут важные данные (счета кредиток с миллионными вкладами и т.п., ну вы поняли :-))

Jessie имеет 192.168.1.95/24,
Десктоп 192.168.1.40/24/

Ссылка

←	бэкап windows при помощи tar

Terminus condensed и масштабирование шрифта

→

Для параноиков есть filter/OUTPUT.

ArcFi ★
(26.10.16 05:35:20 MSK)

Ответ на: комментарий от ArcFi 26.10.16 05:35:20 MSK

И как это будет выглядеть практицки? Боюсь ошибиться.
Надеюсь, вы меня не обманете :)

chukcha ★★★★★
(26.10.16 05:41:53 MSK) автор топика

Кому ты нафиг нужен, божечки-кошечки.

~~cinyflo~~ ★★★★★
(26.10.16 06:03:42 MSK)

Ссылка

Ответ на: комментарий от chukcha 26.10.16 05:41:53 MSK

И как это будет выглядеть практицки?

Точно так же, как и filter/INPUT, только исправить входящие интерфейсы на исходящие.
Пример см. в /etc/sysconfig/{ip6tables,iptables} в пакете iptables-services из CentOS/Fedora.
Или можно взять firewalld и там через интерфейс direct добавить аналогичные правила.

ArcFi ★
(26.10.16 06:10:38 MSK)

Ответ на: комментарий от ArcFi 26.10.16 06:10:38 MSK

Это я понял, но только iptables я знаю только на уровне что он сушествует :)
Т.е ничего. И если в CentOS знаю что его конфиг находится в /etc/sysconfig/iptables и умею вносить в него строки, которые мне кто-то укажет, то в Дебе и этого не умею.
Если не трудно, помоги Чукче конкретными указаниями.

chukcha ★★★★★
(26.10.16 06:18:50 MSK) автор топика

Ответ на: комментарий от chukcha 26.10.16 06:18:50 MSK

Вернее, конкретными правилами для моего случая.

chukcha ★★★★★
(26.10.16 06:47:18 MSK) автор топика

Ответ на: комментарий от chukcha 26.10.16 06:18:50 MSK

Вот костыль для деба:
https://github.com/gronke/systemd-iptables
Тут можно взять «болванки» правил:
https://dl.fedoraproject.org/pub/fedora/linux/releases/24/Everything/x86_64/o...

ArcFi ★
(26.10.16 06:48:15 MSK)

Ссылка

Ответ на: комментарий от chukcha 26.10.16 06:47:18 MSK

Вернее, конкретными правилами для моего случая.

Берёте строки в INPUT, копипастите, меняете на OUTPUT и добавляете, чего не хватает.

ArcFi ★
(26.10.16 06:51:56 MSK)

Пойдет ?

iptables -t mangle -A PREROUTING -s 192.168.1.40 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.1.40 -j ACCEPT
iptables -t mangle -A PREROUTING -j DROP
iptables -t mangle -A POSTROUTING -j DROP

или через gui

apt-get install gufw

Samamy ★★★
(26.10.16 07:02:07 MSK)

Ответ на: комментарий от ArcFi 26.10.16 06:51:56 MSK

Откуда же я знаю, чего не хватает, говорю же, я в этом не бум-бум :)
2-я ссылка, кстати, не того, не фурычит...

chukcha ★★★★★
(26.10.16 07:04:55 MSK) автор топика
Последнее исправление: chukcha 26.10.16 07:11:19 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Samamy 26.10.16 07:02:07 MSK

О! Это уже веселее! :) Только пойдет или нет, вам ведь лучше знать ;)
(кстати, впервые вижу в правилах эту фишку - 'mangle', но это не важно).

Гуй никак не пойдет, патому што он неустновится - сети-то нету :)
И помнится, gufw сильно захламляет правила для понимания.

Ладно, в какой конфиг втыкать в Jessie эти правила?
И это, IP самой Jessie в них никак не нужен?

chukcha ★★★★★
(26.10.16 07:10:06 MSK) автор топика

Ответ на: комментарий от chukcha 26.10.16 07:10:06 MSK

Откуда же я знаю, чего не хватает

Это будет видно, когда что-нибудь перестанет работать после закрытия OUTPUT.

2-я ссылка, кстати, не того, не фурычит...

У меня для вас плохие новости, чините браузер.

впервые вижу в правилах эту фишку - 'mangle', но это не важно

С таким подходом лучше вообще не трогать iptables, целее будет.

ArcFi ★
(26.10.16 07:59:17 MSK)

Ответ на: комментарий от Samamy 26.10.16 07:02:07 MSK

Фильтровать через mangle — дурной тон.

ArcFi ★
(26.10.16 08:09:24 MSK)

Ответ на: комментарий от ArcFi 26.10.16 07:59:17 MSK

У меня для вас плохие новости, чините браузер.

В самом деле тогда не работала, сейчас порядок.

С таким подходом лучше вообще не трогать iptables, целее будет.

Оно-то так, но если умный человек подскажет правила для этого случая, то я впишу их куда надо.
Вы же пытаетесь меня научить премудростям iptables - это бесполезно, кто только не брался :))

Лучше скажите - озвученные выше правила годятся?

iptables -t mangle -A PREROUTING -s 192.168.1.40 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.1.40 -j ACCEPT
iptables -t mangle -A PREROUTING -j DROP
iptables -t mangle -A POSTROUTING -j DROP

chukcha ★★★★★
(26.10.16 08:10:38 MSK) автор топика

Ссылка

Ответ на: комментарий от ArcFi 26.10.16 08:09:24 MSK

Так напишите же плиз, нормальные рабочие правила, сколько уже прошу!...

chukcha ★★★★★
(26.10.16 08:31:29 MSK) автор топика

Ссылка

vnc незнаю какой порт, так что вместо порта написал vnc.
Разрешит входящее соединение с указаного адреса (и опционально по мак адресу) по портам ssh и vnc. Все остальные входящие соединения отклонить.

iptables -A INPUT -s 192.168.1.40 [-m --mac-source [здесь можно указать mac адрес]] -p tcp -m multiport --dports 22,vnc -j ACEPT
iptables -A INPUT -j REJECT
iptables -A OUTPUT -d 192.168.1.40 -j ACCEPT
iptables -A OUTPUT -j REJECT

Исходящие разрешить на адрес 192.168.1.40, на остальные запретить.

~~u0atgKIRznY5~~ ☆
(26.10.16 09:29:19 MSK)

Ссылка

Или не ограничиваться портами, а только разрешить входящий доступ с одного адреса, и исходящий на один адрес.

iptables -A INPUT -s 192.168.1.40 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A OUTPUT -d 192.168.1.40 -j ACCEPT
iptables -A OUTPUT -j REJECT

~~u0atgKIRznY5~~ ☆
(26.10.16 09:47:36 MSK)

Ответ на: комментарий от u0atgKIRznY5 26.10.16 09:47:36 MSK

И еще желательно не забыть

iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT

иначе некоторые сервисы на самой машине не смогут между собой общаться, что может привести к забавным тупнякам.

Еще можно для надежности оставить машину без default gateway, тогда она не сможет никуда дальше локалки ходить.

ddos3 ★
(26.10.16 10:53:07 MSK)

Ссылка

только с определенного локального адреса типа 192.168.1.40

Это не сработает. Что мне мешает установить на любом компе в сети этот адрес?

Просто настрой ssh/vnc и дропай все остальные порты. Не забудь также выключить udp/icmp/snmp и т.д. по списку.

no-such-file ★★★★★
(26.10.16 10:58:12 MSK)
Последнее исправление: no-such-file 26.10.16 11:02:03 MSK (всего исправлений: 1)

Ссылка

Подними сетку /30 на других адресах. Даже можно /31, сейчас, наверное, уже все умеют.

AS ★★★★★
(26.10.16 10:58:51 MSK)
Последнее исправление: AS 26.10.16 10:59:33 MSK (всего исправлений: 1)

Ссылка

Соедини отдельным кабелем с рабочим компом, без маршрутизации в интернет.

Deleted
(26.10.16 11:12:08 MSK)

Ссылка

Кредитки с вкладами - это как?

Deleted
(26.10.16 11:22:31 MSK)

Ссылка

Вооот, совсем другое дело! :)
Парни, только советов, т.е. правил здесь уже несколько, как их объединить в одно такое, что бы вы все его одобрили и не имели к нему замечаний?

Это не сработает. Что мне мешает установить на любом компе в сети этот адрес?

В локалке - пожалуйста, меня заботит только, чтобы из Тырнета не смоги войти с подельниым айпишником.

chukcha ★★★★★
(26.10.16 20:03:47 MSK) автор топика

Ответ на: комментарий от chukcha 26.10.16 20:03:47 MSK

Дааааа, не справились вы с простейшим домашним заданием :(
Простейшим для вас, конечно.
Ждал от вас законченного решения, но получил только отдельные фрагменты, которые непонятно как склеивать да и нужно ли.
И опять все куда-то разбежались....

chukcha ★★★★★
(27.10.16 18:21:21 MSK) автор топика