Maly1990 utworzono 1 grudnia 2017 utworzono 1 grudnia 2017 Witam mam problem w tym ze zapora wycina mi caly ruch ;/ Ustawienia iptables sa takie: -A INPUT -j ACCEPT -A OUTPUT -p TCP --dport 20:21 -j ACCEPT -A OUTPUT -j DROP to ze wycina cały ruch to ok poniewaz sa takie ustawienia natomiast wycina mi rowniez ftp. Przed czyszcze również reguły i ustawiam na nowo polityki iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT DROP Prosze o jakies podpowiedzi bo nie mam pomyslu temat do zamknięcia, hosta podawałem jako nazwę a nie jako ip - nie dzialalo z powodu braku możliwości rozwiązywania adresu
WireBoot komentarz 3 stycznia 2018 komentarz 3 stycznia 2018 FTP w trybie pasywnym działa tylko na porcie 21wszym, w trybie aktywnym korzysta z wysokich (losowo dobranych) portów. Są to porty z zakresu od 35000 do 35999 Rozwiązania są dwa 1. Ustawienie w klientach FTP łączenia sie jedynie w trybie pasywnym 2. Dodanie przed DROPem reguły odblokowującej te porty iptables -A OUTPUT -p TCP --dport 35000:35999 -j ACCEPT
Maly1990 komentarz 3 lutego 2018 Autor komentarz 3 lutego 2018 Tak masz rację ale jest odwrotnie, aktywny dziala na potach 20 i 21 zaś pasywny na 21 i do przesylania komend używa portu wylosowanego/podanego przez serwer
MasterYoghourt komentarz 5 lutego 2018 komentarz 5 lutego 2018 (edytowane) Dodałeś tą regułę na początku: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Ciekawy przykład gotowej konfiguracji IPTABLES z opisami, warty przestudiowania: #!/bin/bash # Clear any previous rules. /sbin/iptables -F # Default drop policy. /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT # Allow anything over loopback and vpn. /sbin/iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A INPUT -i tun0 -j ACCEPT /sbin/iptables -A OUTPUT -o tun0 -j ACCEPT /sbin/iptables -A INPUT -p esp -j ACCEPT /sbin/iptables -A OUTPUT -p esp -j ACCEPT # Drop any tcp packet that does not start a connection with a syn flag. /sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # Drop any invalid packet that could not be identified. /sbin/iptables -A INPUT -m state --state INVALID -j DROP # Drop invalid packets. /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN -j DROP /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,FIN FIN -j DROP /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP # Reject broadcasts to 224.0.0.1 /sbin/iptables -A INPUT -s 224.0.0.0/4 -j DROP /sbin/iptables -A INPUT -d 224.0.0.0/4 -j DROP /sbin/iptables -A INPUT -s 240.0.0.0/5 -j DROP # Blocked ports /sbin/iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 8010 -j DROP # Allow TCP/UDP connections out. Keep state so conns out are allowed back in. /sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT /sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT # Allow only ICMP echo requests (ping) in. Limit rate in. Uncomment if needed. /sbin/iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-reply -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-request -j ACCEPT # or block ICMP allow only ping out /sbin/iptables -A INPUT -p icmp -m state --state NEW -j DROP /sbin/iptables -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT # Allow ssh connections in. #/sbin/iptables -A INPUT -p tcp -s 1.2.3.4 -m tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -m limit --limit 2/m -j ACCEPT # Drop everything that did not match above or drop and log it. #/sbin/iptables -A INPUT -j LOG --log-level 4 --log-prefix "IPTABLES_INPUT: " /sbin/iptables -A INPUT -j DROP #/sbin/iptables -A FORWARD -j LOG --log-level 4 --log-prefix "IPTABLES_FORWARD: " /sbin/iptables -A FORWARD -j DROP #/sbin/iptables -A OUTPUT -j LOG --log-level 4 --log-prefix "IPTABLES_OUTPUT: " /sbin/iptables -A OUTPUT -j ACCEPT iptables-save > /dev/null 2>&1 https://www.cyberciti.biz/tips/linux-iptables-examples.html
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.