[2] iptables: Нужно запретить все входящие запросы на соединение

0

0

Продолжая тему http://www.linux.org.ru/jump-message.jsp?msgid=746883 и рецепт из FAQ http://www.linux.org.ru/books/lor-faq/lorFAQ-17.html#ss17.13

Включил в ядро что надо, и задал правила в iptables, но не сработало.

#!/bin/bash
for table in INPUT OUTPUT FORWARD ; do
        iptables -P $table DROP
done
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ALL -j ACCEPT

Ничего не пингуется и никакой сайт не загружается.

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

После iptables -P INPUT ACCEPT "всё работает".

Сразу подумалось, почему UDP не разрешается? Может в FAQ добавить строчку с UDP?

iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

Ссылка

←	gnome-cd в Fedora 3 не работает

DC++ для linux

→

Ну и ICMP, соответсвенно.

Selecter ★★★★
(28.12.04 15:02:39 MSK) автор топика

Ссылка

Тебе же написали в
http://www.linux.org.ru/jump-message.jsp?msgid=746883

что надо сделать.

что тебе еще надо.

anonymous
(28.12.04 16:20:30 MSK)

Слушай может ты прочитаешь литературу какую-нибудь про сети
и не будешь задавать идиотских вопросов?

>iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

какие нафиг ESTABLISHED,RELATED?

в UDP нет понятия соединения, соответсвенно не может быть не
ESTABLISHED не RELATED.

блин, RTFM.

anonymous
(28.12.04 16:25:31 MSK)

Ответ на: комментарий от anonymous 28.12.04 16:25:31 MSK

>в UDP нет понятия соединения,

Так точно, нет. Но, насколько я понимаю, iptables таки позволяет отслеживать "установленые" UDP-"соединения". Подробности в iptables tutorial.

fagot ★★★★★
(28.12.04 17:56:30 MSK)

Ссылка

-p TCP удали

fagot ★★★★★
(28.12.04 17:57:01 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.12.04 16:20:30 MSK

Там неправильно писали. То, что предлагали, я уже давно пробовал и оно не работает.

>какие нафиг ESTABLISHED,RELATED и UDP?

Как раз доки я читал. Так там написано, что это не предусмотрено протоколом, но предусмотрено ядром.

>-p TCP удали

Точно. Можно ещё all

Selecter ★★★★
(28.12.04 19:04:44 MSK) автор топика

Ответ на: комментарий от Selecter 28.12.04 19:04:44 MSK

Ещё заметил, что KDE стал подвисать у брата и konsole мой запускался очень долго.

Помогла строчка:

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p ALL -j ACCEPT

Если что не так, исправте пожалуйста.

Selecter ★★★★
(28.12.04 20:57:20 MSK) автор топика

Ответ на: комментарий от Selecter 28.12.04 20:57:20 MSK

>Ещё заметил, что KDE стал подвисать у брата и konsole мой запускался очень долго.

После подключения к инету?

jackill ★★★★★
(28.12.04 23:48:16 MSK)

Ответ на: комментарий от jackill 28.12.04 23:48:16 MSK

При загрузке KDE

Selecter ★★★★
(28.12.04 23:52:06 MSK) автор топика

Ссылка

Ответ на: комментарий от Selecter 28.12.04 20:57:20 MSK

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

такого достаточно

Demetrio ★★★★★
(29.12.04 10:03:17 MSK)

Ответ на: комментарий от Demetrio 29.12.04 10:03:17 MSK

С -i lo у меня не получалось. Я его в INPUT добавлял, в этом дело?

Selecter ★★★★
(29.12.04 11:03:01 MSK) автор топика

Ответ на: комментарий от Selecter 29.12.04 11:03:01 MSK

Я, в общем-то, специалист в iptables никакой, тупо добавил пару строчек в сгенерированный конфиг и все :)

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 0:122 -j REJECT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 124:1023 -j REJECT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


[root@dhcp-174-33 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
REJECT     tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:nfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere            udp dpts:0:122 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere            udp dpts:124:1023 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere            udp dpt:nfs reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpts:x11:6009 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:xfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Demetrio ★★★★★
(29.12.04 11:23:51 MSK)