Форум русскоязычного сообщества Ubuntu


Автор Тема: Не могу закрыть порт  (Прочитано 1184 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Rikan90

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
    • Бесплатный VPN-доступ без ограничений
Re: Не могу закрыть порт
« Ответ #15 : 16 Марта 2016, 19:46:40 »
Вы - не знаете. Не надо использовать слова, в значении которых вы не уверены.
С чего вы это взяли??? :) Цифры в нике - это не всегда год рождения, наблюдательный вы наш...
Я уже более 15 лет работаю с серверами (но на Windows) в масштабе предприятий и более 10 лет администрировал сеть в большом офисе. В Ubuntu портов больше? Или же они не бывают закрытыми и открытыми. Нет аналога port mapping? Но, мы отошли от сути вопроса.

Повторю специально для вас, в надежде на помощь. Мне не трудно.
Есть сервер на Ubuntu 14.04. Прочитав много полезной инфы, в том числе и на этом форуме, я сам, впервые столкнувшись с данной ОС, установил OpenVPN Server. Все правила прописал идеально. Все работает, клиенты подключаются, скорость максимальная, ничего не пропадает. Но на данный момент возникла потребность в том, чтоб клиенты, подключаемые к OpenVPN, не могли подключаться к сторонним ресурсам через определенные порты. Возьмем, к примеру, ftp. Надо, чтобы подключившись к серверу с OpenVPN, клиенты не могли подключаться к сторонним ftp-серверам. Чтобы, выражаясь словами знающих, для подключенных клиентов 21-й порт был закрыт! Извините, что использовал именно это слово - "закрыт".
Очень надеюсь на помощь знающих людей, а не пустословов...
Заранее благодарен и вам, и всем, кто поможет мне в данном вопросе.
Аминь

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #16 : 16 Марта 2016, 20:07:49 »
Самый первый затык в попытке помочь Вам - различие между "закрыть порт сервера"(а открыт ли он?) и "закрыть порт за шлюзом" (который фактически явялется ещё и сервером). Это 2 разные задачи, которые выполняются немножко по разному.

Если же Вы админите сервера не первый год, то должны знать про определение политика безопасности. Именно на ней строятся дальнейшие действия по защите. Практически все админы (могу и ошибаться) в итоге приходят к системе "запрещено всё, что не разрешено". Для такой схемы нет понятия "закрыть порт", потому как они по умолчанию закрыты все. И есть понятие "открыть порт" (и это не факт, что этот порт кем-то слушается).
При системе защиты "разрешено всё, что не запрещено" (это уже обычно провайдерсие штучки) - алгоритм другой.

Из последних iptables -A INPUT -i eth0 -p tcp -s 10.8.0.0/24 --dport 21 -j DROP
Смысл в него заложен правильный, но делает оно не то что Вы задумали.... Почти не то...
Что оно должно сделать по Вашему? Просто возьмите и разберите это правило по частям. И, возможно, сразу сами увидите проблему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #17 : 16 Марта 2016, 20:14:32 »
Вы - не знаете. Не надо использовать слова, в значении которых вы не уверены.
С чего вы это взяли??? :) Цифры в нике - это не всегда год рождения, наблюдательный вы наш...
Я уже более 15 лет работаю с серверами (но на Windows)
И до сих пор не научились формулировать задачу понятными словами?…

Цитировать
Повторю специально для вас, в надежде на помощь. Мне не трудно.
Давайте.

Цитировать
Есть сервер на Ubuntu 14.04.
Замечательно.

Цитировать
Прочитав много полезной инфы, в том числе и на этом форуме, я сам, впервые столкнувшись с данной ОС, установил OpenVPN Server. Все правила прописал идеально. Все работает, клиенты подключаются, скорость максимальная, ничего не пропадает.
Вода и не относится к вопросу.

Цитировать
Но на данный момент возникла потребность в том, чтоб клиенты, подключаемые к OpenVPN, не могли подключаться к сторонним ресурсам
Воот! Вот этого я от вас добивался целых две страницы! Так сложно было написать сразу, а не демонстрировать свой гонор и "знания"?
К СТОРОННИМ ресурсам! Какого же хрена тогда вы пишете правила в INPUT?
Зубрите.
Цитировать
через определенные порты.
Правильная инкантация:
Код: (bash) [Выделить]
iptables-restore <<<"*filter
:FORWARD DROP [0:0]
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -i ppp+ -p tcp -m tcp --dport 21 -j DROP
-A FORWARD -s 192.168.35.0/24 -i ppp+ -m conntrack --ctstate NEW -j ACCEPT
COMMIT
"
Адреса и имена интерфейсов, естественно, свои.

Цитировать
Возьмем, к примеру, ftp. Надо, чтобы подключившись к серверу с OpenVPN, клиенты не могли подключаться к сторонним ftp-серверам. Чтобы, выражаясь словами знающих, для подключенных клиентов 21-й порт был закрыт! Извините, что использовал именно это слово - "закрыт".
Сторонним!… Откуда у вас на локальном (INPUT!) хосте сторонние FTP-сервера?

Цитировать
Очень надеюсь на помощь знающих людей, а не пустословов...
Заранее благодарен и вам, и всем, кто поможет мне в данном вопросе.
Аминь
Вода и не относится к делу.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 273
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #18 : 16 Марта 2016, 20:24:58 »
...Я уже более 15 лет работаю с серверами (но на Windows) в масштабе предприятий и более 10 лет администрировал сеть в большом офисе....

И вот это самое странное что за столько времени Вы не освоили "основы" работы со шлюзом/маршрутизатором, которые по общим принципам не отличаются от типа ОС или конкретной железки - беда :(

Оффлайн Rikan90

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
    • Бесплатный VPN-доступ без ограничений
Re: Не могу закрыть порт
« Ответ #19 : 16 Марта 2016, 20:26:59 »
fisher74,
Спасибо за ответ.
Речь, конечно же, идет не о порте сервера, а о порте за шлюзом.
Вы абсолютно правы насчет безопасности - сначала запрет на все, потом разрешения.
Но, на данный момент, т.к. система на стадии тестирования, все открыто и нужно именно закрыть 21-й порт.
На счет примера моего правила, т.к. мои познания в них (правилах) еще достаточно сыры, я не могу уловить суть ошибки.
Еще раз спасибо вам.
С уважением.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #20 : 16 Марта 2016, 20:32:38 »
На счет примера моего правила, т.к. мои познания в них (правилах) еще достаточно сыры, я не могу уловить суть ошибки.
Просто разберите его по частям, по каким условиям оно сработает, а потом сравните какие условия для Ваших хотелок.
Собственно решение Вашей проблемы уже показали, но не поняв механизма будете кувыркаться на каждой проблеме.
"Лучше день потерять, чтобы потом за 5 минут долететь" У меня прозрение по применению iptables настало на этой статье. Может и Вас торкнет

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #21 : 16 Марта 2016, 20:33:58 »
за столько времени Вы не освоили "основы" работы со шлюзом/маршрутизатором
В Windows всё "слегка" иначе. Я бы не стал вот так брать и обвинять, что "не освоили". Но хотя бы ставить задачи за 15 лет можно научиться?…

Пользователь решил продолжить мысль 16 Марта 2016, 20:36:10:
У меня прозрение по применению iptables настало на этой статье. Может и Вас торкнет
Меня "торкнуло" после http://www.docum.org/docum.org/kptd/
На основе которой и была нарисована вышеупомянутая SVG'шка.
« Последнее редактирование: 16 Марта 2016, 20:36:10 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Rikan90

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
    • Бесплатный VPN-доступ без ограничений
Re: Не могу закрыть порт
« Ответ #22 : 16 Марта 2016, 20:55:00 »
AnrDaemon,
fisher74,
Низкий поклон за помощь!

Пользователь решил продолжить мысль 16 Марта 2016, 20:58:39:
AnrDaemon,
Приношу свои извинения за упущенное слово "сторонних". Тут вы, безусловно, правы.
Но, смею возразить, гонора, а уж тем более знаний, ни коем образом не демонстрировалось.
« Последнее редактирование: 16 Марта 2016, 20:58:39 от Rikan90 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #23 : 16 Марта 2016, 21:34:54 »
Rikan90, не игнорируйте совет fisher74, разберитесь, слово за словом, что делают правила, тогда сможете как составлять свои, так и диагностировать чужие, читая по диагонали.
Так же рекомендую статью на нашей вики, там кроме всего прочего приведён один из самых простых вариантов загрузки правил при старте машины.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 273
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #24 : 16 Марта 2016, 21:46:13 »
В Windows всё "слегка" иначе. Я бы не стал вот так брать и обвинять, что "не освоили". Но хотя бы ставить задачи за 15 лет можно научиться?…

:) Ну да - там все что "за шлюзом", закрывается на "клиенте", а пакеты не машрутизируются и не натятся - их "индусы" на велосипедах перевозят. Я не про конкретные настройки, а про общие принцы работы TCP/IP, а они не зависят от ОС или железки - они просто есть. И если человек "админил 10 лет сеть предприятия" хоть и под маздай и не может сформулировать вопрос на "сетевую тему" - то это беда, как не крути.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #25 : 16 Марта 2016, 21:47:06 »
kobaltd, вот честно, вы сами в состоянии разрулить виндовый фаервол на доменном клиенте?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 273
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #26 : 16 Марта 2016, 21:55:25 »
да причем этим как раз и занимаюсь продолжительное время причем как и через локальный mmc/powershell так и через gpo домена :)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #27 : 16 Марта 2016, 21:59:21 »
Тогда должны знать, что там идеология настройки сильно отличается от используемой в iptables.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 273
    • Просмотр профиля
Re: Не могу закрыть порт
« Ответ #28 : 16 Марта 2016, 22:14:52 »
Тогда должны знать, что там идеология настройки сильно отличается от используемой в iptables.

Там отличается синтаксис=интерфейс, а вот как может измениться понятия порт источника/порт назначения ip источника/ip назначения и маршрутизация/NAT? Какая разница (не в настройке), а в основных принципах работы сетей от ОС? NAT он и в Маздаее и в линуксе и в циске  NAT, назначение таблицы маршрутов в них также везде одинаково и т.д. -  понимаете этого дает возможность сформулировать "корректно" вопрос для любой ОС. И кстати "идиология" так же не сильно отличается от iptables - те же маздаевские "профили" вполне соотносятся с "айпитэйбловсками цепочками", просто обернуты в другой "интерфейс" - но основополагающие принципы одни и те же.

 

Страница сгенерирована за 0.065 секунд. Запросов: 25.