x-kom hosting

Firewall - iptables

Maly1990

Maly1990

utworzono
utworzono

Witam

 

mam problem w tym ze zapora wycina mi caly ruch ;/ Ustawienia iptables sa takie:

 

-A INPUT -j ACCEPT

-A OUTPUT -p TCP --dport 20:21 -j ACCEPT
-A OUTPUT -j DROP
 

to ze wycina cały ruch to ok poniewaz sa takie ustawienia natomiast wycina mi rowniez ftp. Przed czyszcze również reguły i ustawiam na nowo polityki

 

iptables -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT DROP

 

Prosze o jakies podpowiedzi bo nie mam pomyslu

temat do zamknięcia, hosta podawałem jako nazwę a nie jako ip - nie dzialalo z powodu braku możliwości rozwiązywania adresu :)

  • 1 miesiąc później...

WireBoot

WireBoot

komentarz
komentarz

FTP w trybie pasywnym działa tylko na porcie 21wszym, w trybie aktywnym korzysta z wysokich (losowo dobranych) portów. Są to porty z zakresu od 35000 do 35999

Rozwiązania są dwa

1. Ustawienie w klientach FTP łączenia sie jedynie w trybie pasywnym

2. Dodanie przed DROPem reguły odblokowującej te porty 

iptables -A OUTPUT -p TCP --dport 35000:35999 -j ACCEPT

  • 1 miesiąc później...
Maly1990

Maly1990

komentarz
  • Autor
komentarz

Tak masz rację ale jest odwrotnie, aktywny dziala na potach 20 i 21 zaś pasywny na 21 i do przesylania komend używa portu wylosowanego/podanego przez serwer

MasterYoghourt

MasterYoghourt

komentarz
komentarz (edytowane)

Dodałeś tą regułę na początku:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

Ciekawy przykład gotowej konfiguracji IPTABLES z opisami, warty przestudiowania: 

#!/bin/bash

# Clear any previous rules.
/sbin/iptables -F

# Default drop policy.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT

# Allow anything over loopback and vpn.
/sbin/iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i tun0 -j ACCEPT
/sbin/iptables -A OUTPUT -o tun0 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A OUTPUT -p esp -j ACCEPT

# Drop any tcp packet that does not start a connection with a syn flag.
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Drop any invalid packet that could not be identified.
/sbin/iptables -A INPUT -m state --state INVALID -j DROP

# Drop invalid packets.
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN              -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST              -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST              -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,FIN FIN                  -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG                  -j DROP

# Reject broadcasts to 224.0.0.1
/sbin/iptables -A INPUT -s 224.0.0.0/4 -j DROP
/sbin/iptables -A INPUT -d 224.0.0.0/4 -j DROP
/sbin/iptables -A INPUT -s 240.0.0.0/5 -j DROP

# Blocked ports
/sbin/iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 8010 -j DROP

# Allow TCP/UDP connections out. Keep state so conns out are allowed back in.
/sbin/iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT  -p udp -m state --state ESTABLISHED     -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow only ICMP echo requests (ping) in. Limit rate in. Uncomment if needed.
/sbin/iptables -A INPUT  -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-request -j ACCEPT

# or block ICMP allow only ping out
/sbin/iptables -A INPUT  -p icmp -m state --state NEW -j DROP
/sbin/iptables -A INPUT  -p icmp -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow ssh connections in.
#/sbin/iptables -A INPUT -p tcp -s 1.2.3.4 -m tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -m limit --limit 2/m -j ACCEPT

# Drop everything that did not match above or drop and log it.
#/sbin/iptables -A INPUT   -j LOG --log-level 4 --log-prefix "IPTABLES_INPUT: "
/sbin/iptables -A INPUT   -j DROP
#/sbin/iptables -A FORWARD -j LOG --log-level 4 --log-prefix "IPTABLES_FORWARD: "
/sbin/iptables -A FORWARD -j DROP
#/sbin/iptables -A OUTPUT  -j LOG --log-level 4 --log-prefix "IPTABLES_OUTPUT: "
/sbin/iptables -A OUTPUT  -j ACCEPT

iptables-save > /dev/null 2>&1

 

https://www.cyberciti.biz/tips/linux-iptables-examples.html

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

Zadaj pytanie bez logowania
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.

  Akceptuję