LINUX.ORG.RU
ФорумSecurity

Помогите с iptables закрыть доступ к локалхосту

 , ,


0

1

Привет, друзья!

Пытаюсь, но безуспешно, закрыть доступ к локалхосту из инета. Вот мои правила:

iptables -F

iptables -X

ifconfig eno1 down

ifconfig eno1 hw ether dd:aa:44:55:77:88

ifconfig eno1 up

iptables -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i lo ! -s 127.0.0.1 -j DROP # Блокируем, если источник - не локалка

iptables -A OUTPUT -o lo ! -d 127.0.0.1 -j DROP # Блокируем, если адрес - не локалка

iptables -A INPUT -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eno1 -j ACCEPT

iptables -A OUTPUT -d 10.0.0.0/8 -j DROP

iptables -A INPUT -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT

По идее, при запущенном Апаче, если я введу в адресной строке браузера мой айпи, я не должен получить доступ к серверу. Но выходит наоборот - я вижу главную страничку Апача. Что не так делаю?

Спасибо



Последнее исправление: alexag (всего исправлений: 1)
PostgreSQL наружу в интернет — безопасно?
CVE-2015-8126: переполнение буфера в libpng

Ответ на: комментарий от outsider

Спасибо за ответ. вывод такой:

[root@localhost s]# iptables --list

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all  — anywhere anywhere

DROP all  — !localhost anywhere

DROP all  — 10.0.0.0/8 anywhere

ACCEPT all  — anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT all  — anywhere anywhere

DROP all  — anywhere !localhost

ACCEPT all  — anywhere anywhere

DROP all  — anywhere 10.0.0.0/8

alexag
() автор топика
Ответ на: комментарий от alexag

ACCEPT all — anywhere anywhere

ищи где у тебя правила разрешают.
а лучше сделай сначала чтобы вообще ничего не разрешало, а потом добавляй нужные тебе правила

outsider ★★
()
Ответ на: комментарий от outsider

так, вроде, все заблокировал. Политка по умолчанию - запрещать все входящие. разрешены только подключения, которые инициированы мной. Короче, бьюсь головой об стену прям:) Может, в курсе, что еще можно сделать? Или как правила переписать?

alexag
() автор топика

У тебя последнее правило явно входящие запросы разрешает. Третье снизу разрешает отвечать на запросы. Зачем тут ACCEPT если нужен запрет?

TomBOY ★★
()

Но выходит наоборот - я вижу главную страничку Апача.

Ты проверяешь с того же хоста, на котором запущен апач? Тогда весь трафик пойдет через lo. Проверяй каким-нибудь внешним сервисом типа 2ip.

Deleted
()
Ответ на: комментарий от TomBOY

Спасибо. Я правила писал из такого расчета: разрешать исходящие и блокировать все входящие, которые мною не инициированы. По этому написал такое: iptables -A INPUT -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Т.е. разрешать уже установленные входящие, хотя политика по умолчанию для входящих - блокировать. Или я не правильно сделал?

alexag
() автор топика
Ответ на: комментарий от TomBOY

Спасибо. Попробовал закомментить iptables -A INPUT -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT. Не получается ни к чему подлючиться.

alexag
() автор топика
Ответ на: комментарий от alexag

не обязательно делать фильтром пакетов. Можно просто апач заставить отдавать контент только на внутри сети.
.htaccess cмотри

TomBOY ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
PostgreSQL наружу в интернет — безопасно?
Security
CVE-2015-8126: переполнение буфера в libpng