правила iptables: закрытые порты

[absent]

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

+1
всегда удивляло, почему люди любят писать в своих скриптах кучу входящих правил с DROP, вместо одного логичного iptables -P INPUT DROP

[Protopopulus]

Теперь понятно где "ошибки". Я iptables использую еще и как монитор, поэтому, ESTABLISHEED, на первый взгляд, не логичен. В общем, это удобные для меня и надежные для моего хоста, правила. А про -P INPUT DROP я написал в конце. Если в INPUT нет правил, то политика DROP просто отключит сеть.

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPTС этим согласен

У Вас не соединения открываются, а ЛЮБОЙ tcp трафик на эти порты. Правильно так:
iptables -A WORKTCP -p tcp --dport 80 --syn -m conntrack --ctstate NEW -j ACCEPT

Тоже верно. Забыл про NEW.

Пойду дальше читать маны...

[absent]

Я iptables использую еще и как монитор

по-моему, для этого дела логичнее использовать таблицу mangle, а не filter

[alexxnight]

Я бы тоже исходил из того, что netfilter (iptables) в первую очередь firewall...

[Lara]

правила iptables: закрытые порты - дубль 2
Итак, попробывала написать по этому скрипту. Не отходила от него ни на шаг. В итоге - все тоже самое - все открыто. Смотрю в iptablas-save, а там
WORKTCP    tcp  --  anywhere             anywhere           
WORKUDP    udp  --  anywhere             anywhere           
SERVICE    icmp --  anywhere             anywhere - первые строчки. Я ведь не писала, что anywhere ... Я ведь DROP всех и каждого... Далее по тексту, вроде более-менее, но почему это в начале?
Вот iptablas-save [spoiler:

(Нажмите, чтобы показать/скрыть)

INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:SERVICE - [0:0]
:WORKTCP - [0:0]
:WORKUDP - [0:0]
-A INPUT -p tcp -j WORKTCP
-A INPUT -p udp -j WORKUDP
-A INPUT -p icmp -j SERVICE
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp -m multiport --dports 783 -j DROP
-A INPUT -p tcp -m tcp -m multiport --dports 3310 -j DROP
-A INPUT -p tcp -m tcp -m multiport --dports 10000 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p tcp -m tcp --dport 631 -j DROP
-A INPUT -p tcp -m tcp --dport 1080 -j DROP
-A INPUT -p tcp -m tcp --dport 98 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j DROP
-A INPUT -p tcp -m tcp --dport 23 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -p tcp -m tcp --dport 137:138 -j DROP
-A INPUT -p tcp -m tcp --dport 135 -j DROP
-A INPUT -p udp -j WORKUDP
-A INPUT -p udp -m udp --dport 137:138 -j DROP
-A INPUT -p udp -m udp --dport 3049 -j DROP
-A INPUT -p udp -m udp --dport 517:518 -j DROP
-A INPUT -p udp -m udp --dport 445 -j DROP
-A OUTPUT -p tcp -m multiport --sports 80 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,5190 -j ACCEPT
COMMIT
# Completed on Wed Jul 13 22:42:43 2011

Больше всего удивляет, откуда
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem - я ведь наоборот, дроп... Это колдовство, шаманство какое-то   И изображения все равно не появились ...

[Protopopulus]

Lara, вот вывод iptables -L -vn на моем хосте.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   43  3156 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
   54  4096 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
1069K  117M LOCALES    all  --  *      *       192.168.0.0/16       192.168.0.0/16      
1483K 1414M WORKTCP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          
 183K   17M WORKUDP    udp  --  *      *       0.0.0.0/0            0.0.0.0/0          
 1089 52292 SERVINP    icmp --  *      *       0.0.0.0/0            0.0.0.0/0          
  302  9664 ACCEPT     2    --  *      *       0.0.0.0/0            0.0.0.0/0          
1533K 1479M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED

Chain OUTPUT (policy ACCEPT 3017K packets, 576M bytes)
 pkts bytes target     prot opt in     out     source               destination        
  281 13320 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
1076K  118M LOCALES    all  --  *      *       192.168.0.0/16       192.168.0.0/16      
 4167  547K SERVOUT    icmp --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain LOCALES (2 references)
 pkts bytes target     prot opt in     out     source               destination        
    7   324 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20000 reject-with tcp-reset
2145K  235M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain SERVINP (1 references)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    1    56 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
   76  3644 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 1
 1012 48592 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain SERVOUT (1 references)
 pkts bytes target     prot opt in     out     source               destination        
   76  3644 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
 3956  531K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
  135 12604 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain WORKTCP (1 references)
 pkts bytes target     prot opt in     out     source               destination        
 466K  201M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20000 state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30000 state NEW,ESTABLISHED
 2523  124K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW reject-with tcp-reset
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW reject-with tcp-reset
 486K  567M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

Chain WORKUDP (1 references)
 pkts bytes target     prot opt in     out     source               destination        
 157K   15M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW reject-with icmp-net-prohibited
25715 2303K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

Сделайте то же и у себя.

Код: [Выделить]

-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachableВот это неверно, так как, tcp пакеты просто не дойдут до этих правил, а уйдут в цепь WORKTCP. Если нужно, чтобы работали эти правила, то надо их переместить в цепь WORKTCP. А так же, у Вас нет ни одного правила в цепочках WORKTCP, WORKUDP и SERVICE, а это значит, что первые три правила в INPUT перенаправляют пакеты туда, где они никак не фильтруются.

[Lara]

Зравствуйте Вы не поверите, но именно там они и были. Может, что-то другое - вижу, что никакой логики в моих правилах не выводится. Хотя пишу одно - вывод iptablas-save другой. Уже пробывала iptables -A INPUT -p tcp -j WORKTCP - правила, udp -правила - то же самое. Сейчас пойду снова...

[Protopopulus]

Лучше бы iptables -L -vn показали...

[Lara]

(Нажмите, чтобы показать/скрыть)

# Completed on Wed Jul 13 22:42:43 2011

 pkts bytes target     prot opt in     out     source               destination         
    1   576 SERVICE    icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 12
   69 75304 WORKTCP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 ctstate INVALID,NEW
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x12/0x12 ctstate INVALID,NEW reject-with tcp-reset
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 reject-with icmp-port-unreachable
  121 83487 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp multiport dports 783
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp multiport dports 3310
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp multiport dports 10000
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:631
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1080
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:98
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:137:138
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:135
    2   618 WORKUDP    udp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:138
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:3049
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:517:518
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:445

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 54 packets, 3867 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport sports 80
   81 11960 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,5190

Chain SERVICE (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain WORKTCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain WORKUDP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
root@lanas-System-Product-Name:~#

Вот, а внизу пустые цепочки - как будто я не писала ничего.

[Protopopulus]

Сейчас сделаю для Вас скрипт. Настроит все автоматически. Включу в него правила, которые привели выше более просвещенные...

[Гарри Кашпировский]

Я ведь не писала, что anywhere ... Я ведь DROP всех и каждого

Ну как же? А

Код: [Выделить]

-A INPUT -p icmp -j SERVICE

Больше всего удивляет, откуда, я ведь наоборот, дроп

Так где? :)Ваш iptables-save о том, что нужно сбрасывать подозрительные icmp-пакеты ничего не говорит. Есть только правило (см. выше), что весь icmp заворачиввается в SERVICE, а что делает SERVICE как бэ не очень ясно.

Я вот что хочу сказать, я все понимаю, но зачем закрывать то, что не открыто? Более того, к решениям с помощью iptables я бы пришёл в последнюю очередь, когда сетевой конфигурации приложения не достаточно.

[Protopopulus]

Lara, вот скрипт. Запустить через sudo.

[Lara]

Protopopulus, вот спасибо огромное, сейчас скачаю, рассмотрю и снова пойду на приступ этих iptables Должна ж ведь я их понять в конце концов
KT315, дело в том, что я не знаю точно, что открыто, а что нет. Поэтому закрываю все что могу - да, глупо, но что делать Сервер открыт - да, вот его и пытаюсь закрыть, как пишут "самые уязвимые" тоже...

[Protopopulus]

Lara, пока не поймете как именно работает iptables, не старайтесь "закрывать все, что уязвимо", ибо это чревато неработающими правилами.

[bubuntu-ru]

дело в том, что я не знаю точно, что открыто, а что нет.

http://nmap-online.com/