Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Закрыть все порты, кроме...  (Прочитано 14930 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #30 : 25 Марта 2014, 20:42:09 »
Мне иногда надоедает уговаривать людей развиваться
Вот ответ на Ваш вопрос.
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p tcp -m conntrack --ctstate NEW -m multiport --dports 21,80 -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p udp --sport 27006 -p udp --dport 27018 -j ACCEPT
sudo iptables -P INPUT DROP

P.S. для нормальной работы по 21 порту нужно ещё кое-что, но это я оставляю, как зёрнышко для ростка..
« Последнее редактирование: 26 Марта 2014, 14:02:32 от fisher74 »

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #31 : 26 Марта 2014, 13:24:04 »
я так понимаю udp еще нужно.. чтоб была возможность загрузки НА северер?

Пользователь решил продолжить мысль 26 Марта 2014, 13:27:07:
iptables v1.4.18: unknown option "--sport"
ругеться на вводе sudo iptables -A INPUT -i ppp+ --sport 27005 -p udp --dport 27018 -j ACCEPT
« Последнее редактирование: 26 Марта 2014, 13:27:07 от Naykon »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #32 : 26 Марта 2014, 14:02:04 »
я так понимаю udp еще нужно.. чтоб была возможность загрузки НА северер?
Эммм... Судя по всему Вы далеки от понимания различия между протоколами tcp и udp

ругеться на вводе
да, писалось под контролем одного глаза,потому пропустил параметр
Цитировать
sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT

Пользователь решил продолжить мысль 26 Марта 2014, 14:02:52:
выше тоже исправил

Оффлайн alexlubuntu

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #33 : 07 Апреля 2014, 14:57:31 »
Можно еще один вопрос в продолжение темы?
Если кто-то представляет файрвол для винды - нужна программа которая, видит весь трафик, порты, и программы, которые их используют (в реальном времени).
Чтоб я мог блокировать и разрешать тем или иным программам доступ в есть.
Есть такое для убунты? желательно с ГУИ.  ???

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #34 : 08 Апреля 2014, 09:48:26 »
Вопрос можно. Ответ - НЕТ. По крайней мере я таких не знаю.
netfilter работает на уровне сетевых пакетов и ему (в общем случае) фиолетово какой процесс его инициировал.
В Windows это делается просто за счёт глубокой интеграции гуёв в ядро.
GUI для управления правилами netfilter, конечно, есть. Есть и достойные внимания новичков. Но гибкость управления, конечно, весьма и весьма далека от совершенства.

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #35 : 08 Апреля 2014, 11:06:30 »
По блокированию процессов (программ) - в (не очень) ближайшем будущем ожидается нужный функционал у apparmor версии 3.0. По описанию - вполне юзабельный, однако в настоящее время, насколько знаю, он только в разработке: http://wiki.apparmor.net/index.php/ProfileLanguage#Network_rules

Точнее, нужный функционал есть и сейчас, однако недостаточно гибкий (по крайней мере, для меня): сейчас нельзя ограничивать доступ по адресам/портам: максимум по протоколам.

« Последнее редактирование: 08 Апреля 2014, 11:10:06 от Karl500 »

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #36 : 15 Апреля 2014, 03:49:01 »
Скажите пожалуйста таким образом я закрою ВСЕ порты (чтоб через них не могла дойти Дос от школьников), кроме 80,21;

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p tcp -m conntrack --ctstate NEW -m multiport --dports 21,80 -j ACCEPT
sudo iptables -P INPUT DROP

Верно?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #37 : 15 Апреля 2014, 20:13:28 »
Закроет ДА, а DOS - нет, так как последствия DOS от реакции Вашего netfilter не зависит.

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 247
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #38 : 06 Октября 2014, 17:17:50 »
root@194:/# sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.

почему не хочет?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Закрыть все порты, кроме...
« Ответ #39 : 06 Октября 2014, 18:21:21 »

Оффлайн Slawa1969

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #40 : 17 Ноября 2014, 22:08:11 »
fisher74,
Грубоват и самоуверен господин. Когда не знаете ответ --- это не значит, что ответ не существует.

 
/sbin/iptables -A INPUT -p tcp --destination-port {PORT-NUMBER-HERE} -j DROP
 
### interface section use eth1 ###
/sbin/iptables -A INPUT -i eth1 -p tcp --destination-port {PORT-NUMBER-HERE} -j DROP
 
### only drop port for given IP or Subnet ##
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #41 : 17 Ноября 2014, 23:12:50 »
Ну да, пришёл Slawa1969 и разрушил весь мой злодейский замысел.
Правда, если вникнуть в суть проблемы, то эти правила, конечно, дропнут пакеты на указанный порт. Но если их будет слишком много, чем и характеризуется DOS, то ядро только и будет делать, что заниматься этим. Полезный трафик будет стоять в стороне и ждать, чего и добивался атакующий.

alexxnight

  • Гость
Re: Закрыть все порты, кроме...
« Ответ #42 : 26 Ноября 2014, 16:01:37 »
Вставлю наблюдения из своего опыта:
попытка фильтровать (D)DOS в таблице filter обречено на провал, как написал выше fisher74
нужно "отсеивать" "плохие" пакеты раньше и как можно раньше, но засада в том, что рекомендуется дропать пакеты в таблице filter...

Есть над чем подумать...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Закрыть все порты, кроме...
« Ответ #43 : 26 Ноября 2014, 16:13:36 »
Я не писал, что это провально в таблице filter. Это провально на любом уровне соединения со стороны клиента провайдера, так как запросами соединения забивается не только netfilter, но и сам канал.
Самая лучшая борьба с DDoS - на стороне провайдера.
Кстати, неделю назад была статейка на хабре. Рекламой, конечно, воняет в каждой строке статьи, но зато описаны основные проблемы с которыми сталкивается атакуемый.

alexxnight

  • Гость
Re: Закрыть все порты, кроме...
« Ответ #44 : 26 Ноября 2014, 16:45:20 »
Я не писал, что это провально в таблице filter.

Поясню, что я хотел сказать.
По правилам программирования netfilter (которые разработчики настоятельно рекомендуют), применять DROP нужно в таблице filter.
Хотя, практически можно сделать это, например, в mangle или raw...
Если пакет "плохой", то прежде, чем его дропнут по правилам в filter, он пройдет таблицы raw, mangle, nat. А это ресурсы сервера...

А статья действительно рекламная :)

 

Страница сгенерирована за 0.038 секунд. Запросов: 25.