Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

IPtables sie

https://593930.wb34atkl.asia/viewtopic.php?t=5905

Strona 1 z 1

IPtables sieć pada po zablokowaniu portów powyŻej 1024

: 14 stycznia 2008, 16:00
autor: xam
Witam

Pracuję nad firewallem i napotkałem na problem, mój skrypt wygląda tak:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 1024:60000 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 1024:60000 -j ACCEPT
Jak widać na na początku ustalam że wszystko co przychodzi ma być blokowane, kiedy otwieram port 80 www , 443 https i 53 DNS nadal nic nie działa i jest blokowane. Ale kiedy otworzę porty od 1024 do 60000 to wszystko dobrze działa. Czy to może być spowodowane tym że mój komp nie jest bezpośrednio podłączony do netu tylko do sieci LAN? (bez proxy)
tak samo dzieje się na wirtualnej maszynie z Kubuntu.

: 14 stycznia 2008, 17:32
autor: Yampress
a tak w ogóle to co TY zamierzasz zrobić od tego trzeba wyjść ?

: 14 stycznia 2008, 22:02
autor: xam
Robie nakładkę na IPTables, i jak widać na początku blokuje wszystko co przychodzi i potem usuwając komentarze otwieram ruch na poszczególnych portach.

: 15 stycznia 2008, 16:23
autor: Yampress
pierwsza moja myś to rozumiem że chcesz wpuszczać ruch na te porty na tym komputerze na którym masz firewall i komputer nie chodzi jako router i jest bez maskarady

nie powinno to tak wyglądac ?

Kod: Zaznacz cały

iptables -F

iptables -P INPUT  DROP
iptables -P FORWARD  DROP
iptables -P OUTPUT  ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 443 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 443 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 111 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 111 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 2049 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 2049 -j ACCEPT 
iptables -A INPUT -s 0/0 -p tcp --dport 1024:60000 -j ACCEPT 
iptables -A INPUT -s 0/0 -p udp --dport 1024:60000 -j ACCEPT
czy zwykła stacja robocza tzw desktop gdzie wystarczy:

Kod: Zaznacz cały

iptables -F

iptables -P INPUT  DROP
iptables -P FORWARD  DROP
iptables -P OUTPUT  ACCEPT

iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl