Iptables regu

[nowy148]

Witam!

Mam pytanie odnośnie reguł iptables.
W różnych skryptach iptables polityka wejścia INPUT jest puszczana przez sport.
Logicznie ma uzasadnienie.

Kod: Zaznacz cały

#otwieramy jeszcze drogę powrotną pakietom FTP, HTTP, SSH ...
$IPTABLES -A INPUT --protocol tcp --source-port 21 -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --source-port 80 -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --source-port 8080 -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --source-port 22 -j ACCEPT
#koniecznie otwórzmy drogę do DNS-a
$IPTABLES -A INPUT --protocol udp --source-port53 -j ACCEPT

Natomiast wielu innych skryptach które przejrzałem jest na odwrót:
Dlaczego na INPUT jest dport zamiast sport?

Kod: Zaznacz cały

# ssh 
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p udp --dport 22 -j ACCEPT 

lub

Kod: Zaznacz cały

#odblokowujemy dostęp do samby 
 iptables -I INPUT -i ppp0 -p udp --dport 137:139 -j ACCEPT 
 iptables -I INPUT -i ppp0 -p tcp --dport 137:139 -j ACCEPT 

Kod: Zaznacz cały

#www
$IPT -A INPUT  -p tcp --sport 80 -j ACCEPT    
$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT  

#ftp
$IPT -A INPUT  -p tcp --sport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -j ACCEPT
$IPT -A INPUT  -p tcp --sport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp --[b]dport[/b] 21 -j ACCEPT

#dns
$IPT -A INPUT  -p udp --sport 53 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT

#poczta (pop3)
$IPT -A INPUT  -p tcp --sport 110 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 110 -j ACCEPT

#poczta (smtp)
$IPT -A INPUT  -p tcp --sport 25 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 25 -j ACCEPT

#irc
$IPT -A INPUT  -p tcp --sport 6667:6669 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 6667:6669 -j ACCEPT 

#news (nntp)
$IPT -A INPUT  -p tcp --sport 113 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 113 -j ACCEPT 

Ma również uzasadnienie.

Kod: Zaznacz cały

iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

W przypadku dns-a (powyżej) czy sport czy dport - nie ma różnicy. Działa w obu przypadkach.
To jest bez różnicy czy sport czy dport.
JAKA JEST ZASADA?
Dałem przykładowe reguły.

Czy można oddzielać przecinkami porty które chce się zablokować czy oddzielać spacją?
Bo wiadomo że można podawać zakres w ten sposób 6800:7500 a jak podać porozrzucane np: 137,230, 4055, czy rozdzielone spacją 137 230 4055. Czy w jakiś inny jeszcze sposób?

[Unit]

Tak w skrócie to nie jest obojętne czy --sport czy --dport.
Postawy protokołu TCP trzeba znać, żeby zabierać sie za iptables (przynajmniej mi się tak wydaje) - tutaj możesz znaleźć więcej informacji o TCP
DNS to taka usługa, która działa zarówno na pakietach tcp jak i udp. Na jednych leci synchronizacja między dns-ami, na drugich zapytania o nazwy.

[gielo]

dport to porty od strony internetu, sport od strony lanu. jeżeli zablokujesz np. port 80 na sport to jeżeli na tej samej maszynie działa także ruter, to Twoi klienci nie będą mogli się połączyć ze stronami na tym serwerze ale ludki z internetu już będą. Albo odwrotnie np. masz ruter i chcesz aby można było się łączyć po ssh tylko z wewnątrz sieci, a od internetu byłoby to zablokowane więc na --dport 22 dajesz drop i działa. To tak obrazowo bo według zasad to na wszystko ustawiasz jako drop i potem otwierasz porty przez accept.

[nowy148]

Witam!
Dzięki za odpowiedzi.
Pozdrawiam