IPTables в Debian, или непонятненький парадокс

0

0

Привет товарищи, первое сообщение, для которого и проводилась регистрация на сие форуме, или замечательном острове Unix-юзверей. Проблема заключается в любознательности вообще работы IPTables. Есть две машинки на Deb8, виртуальные, к одной из них есть прямой доступ, к другой только по SSH. Стоит задача, закрыть все порты, кроме 22, 80, 160, 161, 443. Но загвоздка вот в чём: работа через SSH, именно через него. И из-за этой загвоздки дропать цепочки нельзя, иначе SSH отпадает как и контроль над ней. Я заметил парадокс (либо я тупой): Когда я пропишу все диапозоны портов на дроп (цепочка INPUT по умолчанию ACCEPT), при прописи 444:65535 - SSH отваливается, и это происходит на любой машинке. Хоть порт 22 открыт, но SSH не работает. Естественно заходим напрямую, удаляем последнее правило - всё начинает работать. Очищаем правила и делаем тоже самое, только в слегка противоположном смысле. А именно - дропаем цепочку и данные порты разрешаем - SSH работает. Вот не понятно как это происходит, может мне кто объяснит вообще логику, когда делаем одно и тоже, только разными способами, и работает, как оказалось по разному. А может я глупый и не понял чего-то, недавно пользуюсь Дебианом без GUI.

Ссылка

←	Субтитры к видеофайлу могут предостовить доступ для управления удаленным ПК

Малоизвестные и недокументированные методы автозапуска

→

Правила показывай iptables-save

ving2 ★
(24.05.17 12:29:17 MSK)

Ответ на: комментарий от ving2 24.05.17 12:29:17 MSK

Я это делаю исключительно в познательных целях. По этому работаю без сохранения, работает до перезагрузки ведь.

Для первого варианта, с неработающим SSH. Скриншот

Для второго случая, с работающим SSH.

Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             multiport por                                                                                        ts ssh,http,https,zabbix-agent
2    ACCEPT     tcp  --  anywhere             anywhere             multiport por                                                                                        ts zabbix-trapper

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

WeOrangeSky
(24.05.17 13:20:35 MSK) автор топика

Ответ на: комментарий от WeOrangeSky 24.05.17 13:20:35 MSK

$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

~~Xwo~~ ★
(24.05.17 13:31:52 MSK)

Ответ на: комментарий от Xwo 24.05.17 13:31:52 MSK

Если я первую строку введу в SSH, дальше я ничего не напишу ведь, т.к. вся цепочка отклоняет любое входящее соединение в случае отсутствии правил. Напрямую - получится, не спорю.

WeOrangeSky
(24.05.17 14:45:15 MSK) автор топика

Ответ на: комментарий от WeOrangeSky 24.05.17 14:45:15 MSK

Сначала добавь правила для ssh и все что тебе будет нужно, потом уже дефолтный полиси. Также правила можно удалять по одному (-D) и вставлять в произвольное место (-I).

zfree
(24.05.17 15:37:18 MSK)

Ссылка

Ответ на: комментарий от WeOrangeSky 24.05.17 14:45:15 MSK

Вставлять в копипасту в терминал без обдумывания - плохая практика.

~~Xwo~~ ★
(24.05.17 15:46:08 MSK)

Делать надо drop/reject по умолчанию, а не accept. И только то что надо accept. Это стандартный подход, и фаервол надо так и настраивать

samson ★★
(24.05.17 15:57:48 MSK)

Ссылка

Ответ на: комментарий от Xwo 24.05.17 15:46:08 MSK

Я понимаю что делает каждая строка, но суть вообще в главном посте. Я не спрашиваю как это делать, а как это происходит. Если дропать все порты по диапозонам и SSH отваливается при INPUT ACCEPT, либо ацептить все порты при INPUT DROP и SSH работает нормально. А по поводу ваших команд - первая строка мне запретит 22 порт, и я написать дальше ничего не смогу.

WeOrangeSky
(24.05.17 15:58:38 MSK) автор топика

Ответ на: комментарий от WeOrangeSky 24.05.17 14:45:15 MSK

-A INPUT -p tcp -m multiport --ports 444:65535 -j DROP

так делаешь да ? Данный критерий проверяет как исходящий так и входящий порт пакета.

ving2 ★
(24.05.17 15:59:34 MSK)
Последнее исправление: ving2 24.05.17 15:59:57 MSK (всего исправлений: 1)

Ссылка

Вот не понятно как это происходит

Пакет «спускается по правилам», если удовлетворяется условие, то делается действие (-j). Если не одно правило не удовлетворено, то делается действие по умолчанию.

Все просто

samson ★★
(24.05.17 16:01:52 MSK)

Ссылка

Почитайте iptables tutorial, сразу отпадут многие вопросы, даже те, которые на первый взгляд кажутся умными.

Infra_HDC ★★★★★
(24.05.17 16:04:14 MSK)

Ответ на: комментарий от WeOrangeSky 24.05.17 15:58:38 MSK

Я понимаю что делает каждая строка

видимо нет.

ving2 ★
(24.05.17 16:04:14 MSK)

Ссылка

Ответ на: комментарий от WeOrangeSky 24.05.17 15:58:38 MSK

Если дропать все порты по диапозонам и SSH отваливается при INPUT ACCEPT

Так может и ssh тоже дропаешь и до input accept просто не доходит, пакет отбрасывается/дропается

Имел ввиду что ssh случайно не в этом диапазоне?

samson ★★
(24.05.17 16:05:12 MSK)
Последнее исправление: samson 24.05.17 16:08:59 MSK (всего исправлений: 1)

Ответ на: комментарий от Infra_HDC 24.05.17 16:04:14 MSK

Infra_HDC правильный совет дал. Почитайте туториал и сразу все прояснится

samson ★★
(24.05.17 16:07:23 MSK)

Ссылка

Ответ на: комментарий от samson 24.05.17 16:05:12 MSK

да он дропает диапазон портов 444:65535 . В пакете адрес источника попадает под этот критерий и ssh у него отваливается.

ving2 ★
(24.05.17 16:09:29 MSK)

Ответ на: комментарий от WeOrangeSky 24.05.17 15:58:38 MSK

Ответ на вопрос: сделай скрипт с правилами и запускай его. ssh отваливается, но потом сможешь переподключиться.

~~Xwo~~ ★
(24.05.17 16:20:32 MSK)

Ответ на: комментарий от ving2 24.05.17 16:09:29 MSK

Так если адрес источника (source) и адрес получателя (destination) двадцатые, как это может входить в правило 444:65535 ?

WeOrangeSky
(24.05.17 17:05:25 MSK) автор топика

Ответ на: комментарий от Xwo 24.05.17 16:20:32 MSK

А вот по поводу скрипта тоже думал. Но я задаю вопрос, почему в первом случае отпадает SSH а во втором нет, если по сути выполняется тоже самое.

WeOrangeSky
(24.05.17 17:06:29 MSK) автор топика

Ответ на: комментарий от WeOrangeSky 24.05.17 17:05:25 MSK

Так если адрес источника (source) и адрес получателя (destination) двадцатые

Ты точно уверен что адрес источника «двадцатые»?

ving2 ★
(24.05.17 17:08:11 MSK)
Последнее исправление: ving2 24.05.17 17:08:36 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от WeOrangeSky 24.05.17 17:06:29 MSK

почему в первом случае отпадает SSH

IPTables в Debian, или непонятненький парадокс (комментарий)

если по сути выполняется тоже самое

Потому что не тоже самое.

ving2 ★
(24.05.17 17:13:22 MSK)

Ответ на: комментарий от ving2 24.05.17 17:13:22 MSK

Божечки, так я думал оно выходит 22м, и заходит в 22. В данном случае просто --dports надо было писать вместо --ports, закрывая только локальные порты.

WeOrangeSky
(24.05.17 17:19:46 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Субтитры к видеофайлу могут предостовить доступ для управления удаленным ПК

Security

Малоизвестные и недокументированные методы автозапуска

→

Похожие темы