» »

iptables problem z SSH

iptables problem z SSH

sverde21 ::

Torej imam takalo situacijo:

net-->router(Linux)-->workstation(Win)

in da limam odlomek, ki me zajebava:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT

Tole lepo dela ampak kot naslov pove, je neki v zvezi z SSH tle, torej če zadnji dve vrstici dopolnem takole:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

pa stvar ne dela :| (prekine komunikacijo z SSH)... v čem je zdej fora, ko ga omejim na port, ki ga uporablja SSH, ga skine po moji logiki bi moralo še naprej delovati ampak ne..
<?php echo `w`; ?>
  • spremenil: sverde21 ()

r5r ::

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

sport je :D
And it makes me wonder.

sverde21 ::

Matr sm biu bliz :D

BTW v čem je razlika??
<?php echo `w`; ?>

r5r ::

Recimo INPUT paketi prihajajo k tebi, torej iščejo dport (destination).
OUTPUT paketi odhajajo iz sistema, zato zapuščajo iz sport (source). >:D
And it makes me wonder.

kekz ::

Še malo dopolnjeno:

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT ;)

64202 ::

Tole vse si preberi pa boš tzar :D
Iptables Tutorial 1.2.0
I am NaN, I am a free man!

BigWhale ::

Ampak takrat, ko bos razumel, ne ko bos prebral. Branje samo po sebi ni nic posebnega. To se otroci v prvem razredu naucijo... ;>

sverde21 ::

@64202: ni cajta :P

Sicr sm pa že zakapiru kolkr tolk :) rabš sam ene par primerov z dobrimi komentarji, pa ti ni treba tist nakladanje brat :D
<?php echo `w`; ?>

sverde21 ::

Še na en problemček sm naletu :( in sicr imam takalo skripto:
# cat /etc/ppp/firewall.sh
#!/bin/sh

# This part cleans up everything before starting a new ruleset

iptables -F INPUT
iptables -F FORWARD
iptables -X myfw
iptables -F
# Here we go...
insmod -L ip_conntrack
insmod -L ip_conntrack_ftp
iptables -N myfw
iptables -A myfw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A myfw -m state --state NEW -i ! ppp0 -j ACCEPT

iptables -A myfw -p tcp --dport 20 -j ACCEPT
iptables -A myfw -p tcp --dport 21 -j ACCEPT
iptables -A myfw -p tcp --dport 22 -j ACCEPT
iptables -A myfw -p tcp --dport 26 -j ACCEPT
iptables -A myfw -p tcp --dport 80 -j ACCEPT
iptables -A myfw -p tcp --dport 443 -j ACCEPT

# uTorrent
iptables -A FORWARD -p tcp --dport 37631 -j ACCEPT

# Default rule: DROP everything
iptables -A myfw -j DROP
iptables -A INPUT -j myfw
iptables -A FORWARD -j myfw

# SYN flood protection
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#----------------------------------------------------------------------------------------------------

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
myfw       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:37631
myfw       all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain myfw (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:26
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
DROP       all  --  anywhere             anywhere


Problem: odpreti hočem port 37631 vendar ga ne odpre, niti, če vse porte forwardam (iptables -A FORWARD -j ACCEPT)
Najbolj čudno je pa to, da sem z isto skripto imel že odprt ta port (umes se pa nism nič špilal z iptables 0:) )
<?php echo `w`; ?>

Zgodovina sprememb…

  • spremenil: sverde21 ()

b ::

Vrstni red je pomemben.

Tvoj accept mora bit pred dropom, cene sploh ne pride do njega.

Namesto iptables -A uporabi iptables -I myfw 1 ...

To ti postavi tvoj rule na prvo mesto tabele.

sverde21 ::

Sem dau FORWARD tega porta takoj za iptables -F (se pravi čisto zgoraj) in še vedno pravi da je port zaprt :|

P.S.: Bom kr -A uporablu, ker z -A dodaš v verigo pravilo, z -I pa dodaš verigo, mam tudi zgoraj -N ki ustvari verigo.... :\
<?php echo `w`; ?>

64202 ::

iptables -A FORWARD samo dovoli prehod paketov, rabiš še dejanski NAT, nekaj takega:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 37631 -j DNAT --to-destination 1.2.3.4
I am NaN, I am a free man!

sverde21 ::

OMG deeellla :)) TNX 8-)
<?php echo `w`; ?>


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

iptables problem

Oddelek: Operacijski sistemi
242275 (2041) poweroff
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252268 (2090) SasoS
»

pomoč pri iptables

Oddelek: Omrežja in internet
102622 (2451) HellRaiseR
»

iptables + forward

Oddelek: Operacijski sistemi
332341 (1916) tx-z
»

Debian blokira IP...

Oddelek: Operacijski sistemi
261123 (909) BigWhale

Več podobnih tem