Автор Тема: проблема с IPTABLES (Прочитано 899 раз)

shaulyn · « : 02 Декабря 2009, 12:17:11 »

создаю файл iptables_start с таким набором правил

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 80 -j ACCEPT

по идеее закрыты все порты кроме 80 ...но интернета нет...страницы не открываюца..и так с любым портои...куда копать не знаю(

Mam(O)n · « **Ответ #1 :** 02 Декабря 2009, 12:22:02 »

dns забыл.

Пользователь решил продолжить мысль 02 Декабря 2009, 12:23:10:

Также не помешает разрешить icmp. И всё для интерфейса lo.

shaulyn · « **Ответ #2 :** 02 Декабря 2009, 12:29:49 »

tcp 53 порт? а как к все к lo открыть?

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 80 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 53 -j ACCEPT

также не помогает..странички не открываются

Mam(O)n · « **Ответ #3 :** 02 Декабря 2009, 12:50:23 »

Днс еще и udp любит. И с направлениями sport и dport попутался. Вот работает:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -d 172.16.1.3 --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -d 172.16.1.3 --sport 53 -j ACCEPT
iptables -A INPUT -p udp -d 172.16.1.3 --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s 172.16.1.3 --dport 53 -j ACCEPT

iptables -A INPUT -i lo -o lo -j ACCEPT
iptables -A OUTPUT -i lo -o lo -j ACCEPT

shaulyn · « **Ответ #4 :** 02 Декабря 2009, 13:03:40 »

Цитата: Mam(O)n от 02 Декабря 2009, 12:50:23

Днс еще и udp любит. И с направлениями sport и dport попутался. Вот работает:

Код: [Выделить]
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -d 172.16.1.3 --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 80 -j ACCEPT iptables -A INPUT -p tcp -d 172.16.1.3 --sport 53 -j ACCEPT iptables -A INPUT -p udp -d 172.16.1.3 --sport 53 -j ACCEPT iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -s 172.16.1.3 --dport 53 -j ACCEPT iptables -A INPUT -i lo -o lo -j ACCEPT iptables -A OUTPUT -i lo -o lo -j ACCEPT

спасибо, да 80 порт заработал странички открываются, но сделал по подобию 110 порт и 25, но почта не бегает ни локально ни другие пользователи в сети не могут не забрать почту не отправить

Код: [Выделить]

iptables -A INPUT -p tcp -d 172.16.1.3 --sport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 25 -j ACCEPT

iptables -A INPUT -p tcp -d 172.16.1.3 --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 110 -j ACCEPT

Mam(O)n · « **Ответ #5 :** 02 Декабря 2009, 13:10:50 »

Цитата: shaulyn от 02 Декабря 2009, 13:03:40

iptables -A INPUT -p tcp -d 172.16.1.3 --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 172.16.1.3 --dport 110 -j ACCEPT

IP на свой не забыл поменять?

Цитата: shaulyn от 02 Декабря 2009, 13:03:40

другие пользователи в сети

Это шлюз? Для транзитного трафика - цепочка FORWARD. Цепочки INPUT и OUTPUT только для локалхоста и транзит не затрагивают.

shaulyn · « **Ответ #6 :** 02 Декабря 2009, 13:13:14 »

нет он не шлюз, айпи на свой поменял...он почтовый сервер просто..

Mam(O)n · « **Ответ #7 :** 02 Декабря 2009, 13:32:35 »

Тогда нужно разрешить во всех направлениях:

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.17.145 --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 110 -j ACCEPT

и еще я немного с lo накололся:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

shaulyn · « **Ответ #8 :** 02 Декабря 2009, 14:08:38 »

че то я риал не понимаю смысл всего
-s это адрес отправителя
-d это адрес получателя
--sport порт отправителя
--dport порт получателя

следовательно следуя логике

Код: [Выделить]

iptables -A INPUT -p tcp -d 192,168,17,145 --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192,168,17,145 --dport 80 -j ACCEPT

т.е добавляем правило в цепочку ВХОДЯЩИЕ порт tcp адрес получателя 192,168,17,145 порт отправителя 80 ПРИНЯТЬ ...как то нее логично должен и порт отправителя стоять и аналогично в цепочке исходящих, НО так почему то инет не пашет

Код: [Выделить]

iptables -A INPUT -p tcp -d 192,168,17,145 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192,168,17,145 --sport 80 -j ACCEPT

и еще вопрос почему открывая 110 порт так много правил в отличие от 80 порта

Код: [Выделить]

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.17.145 --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 110 -j ACCEPT

Mam(O)n · « **Ответ #9 :** 02 Декабря 2009, 14:49:03 »

Цитата: shaulyn от 02 Декабря 2009, 14:08:38

iptables -A OUTPUT -p tcp -s 192,168,17,145 --sport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 192,168,17,145 --dport 80 -j ACCEPT

Ну дык порт 80 то на удалённом хосте, а исходящий порт, с которого идет подключение - любой свободный > 1024. Поэтому и не работает.

Цитата: shaulyn от 02 Декабря 2009, 14:08:38

и еще вопрос почему открывая 110 порт так много правил в отличие от 80 порта

Код: [Выделить]

iptables -A INPUT -p tcp -d 192.168.17.145 --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --sport 110 -j ACCEPT

Для того, чтоб пускало на 110 порт сервера других.

Код: [Выделить]

iptables -A INPUT -p tcp -d 192.168.17.145 --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.17.145 --dport 110 -j ACCEPT

Для того, чтоб сервер сам мог коннектиться с кем-нить на 110 порт.

shaulyn · « **Ответ #10 :** 03 Декабря 2009, 11:09:45 »

а какой порт отвечает за передачу файлов.....поднято samba надо чтобы с виндовых машин можно загружать и скачивать файлы....подскажите порт!

Mam(O)n · « **Ответ #11 :** 03 Декабря 2009, 11:29:59 »

http://en.wikipedia.org/wiki/NetBIOS

Session service 139/TCP
Datagram distribution service 138/UDP
Name service 137/UDP, в редких случаях 137/TCP

Форум русскоязычного сообщества Ubuntu

Автор Тема: проблема с IPTABLES (Прочитано 899 раз)

shaulyn

проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES

shaulyn

Re: проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES

shaulyn

Re: проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES

shaulyn

Re: проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES

shaulyn

Re: проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES

shaulyn

Re: проблема с IPTABLES

Mam(O)n

Re: проблема с IPTABLES