regoly iptables blokuja dostep do Internetu

[Matrixx]

Najpierw dane:

Kod: Zaznacz cały

uname -a
Linux debian2 5.10.0-18-amd64 #1 SMP Debian 5.10.140-1 (2022-09-02) x86_64 GNU/Linux

Kod: Zaznacz cały

dpkg -l | grep netfilter-persistent
ii  netfilter-persistent                  1.0.15                           all          boot-time loader for netfilter configuration

Kod: Zaznacz cały

mark@debian2:~$ update-alternatives --list iptables
/usr/sbin/iptables-legacy
/usr/sbin/iptables-nft

Po zaimplementowaniu tych regol:

Kod: Zaznacz cały

iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Załaduj moduły śledzące połączenia
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

conntrack -F

# Błędne pakiety – tablica mangle
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP 
iptables -t mangle -A PREROUTING -f -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited 

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -j LOG --log-prefix "outinvalid: "
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable

# Drop everything else
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP

Blokuje dostep do Internetu.

Co zlego jest w tych regolach ?

[dedito]

W regułce łańcucha output, brak akceptacji dla nowych połączeń:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Powinno być:

Kod: Zaznacz cały

iptables -A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

[Matrixx]

Z pelna swiadomoscia dalem DROP na OUTPUT poniewaz:
- zgodnie z definicja polityka domysla jest na ostatniej pozycji w lancuchu, czyli pakiety polaczenia ESTABLISHED powinny moc " wydostac sie" poprzez poprzedzajaca regole ESTABLISHED.
- W Internecie sa przyklady dzialajacych skryptow z domyslna polityka 3xDROP.
- Sam uzywalem takiego skrypta.
Mysle, ze tutaj jest mala niescislosc:

W regułce łańcucha output, brak akceptacji dla nowych połączeń:

Moim zdaniem powinno byc "ustanowionych" polaczen.
Nowe polaczenia to bardziej na INPUT.

[dedito]

Zamiast teoretyzować, sprawdź na własnym firewallu.
Dawno nie bawiłem się regułkami iptables, poza tym to już historia, teraz trzeba się uczyć nftables.
Jak masz Debiana 10 lub nowszego to iptables i tak jest domyślnie konwertowane do nftables.
Różnie ta konwersja wychodzi, nie zawsze dobrze, co może mieś związek z tym twoim firewallem.
https://morfikov.github.io/post/migracj ... -debianie/
https://wiki.debian.org/nftables

[Matrixx]

Zamiast teoretyzować, sprawdź na własnym firewallu.

Wlasnie dlatego szukam entuzjasty iptables, bo warto.
- nftables nie jest dojrzale "produkcyjnie" Podobnie jak cgroups.v2.
- piszac, ze konwersja jest zawodna, masz absolutna racje.
- Iptables ma opcje "legacy" co pozwala dzialac na najnowszych wersjach Debiana.
- Iptables ma teoretycznie ok 36 mln kombinacji polecen, jest szalenie elastyczne, jezeli tylko sie wie jak ...

[dedito]

Z mojego punktu widzenia ... wątek traci sens.

[Matrixx]

No ale gdyby np Morfik cos napisal to by mogl byc bardzo ciekawy.