правила iptables: закрытые порты

[Lara]

Нет, мне скоро не понадобятся правила, не нужны будут открытые порты, закрытые - мне п нужен будет психиатр *смайлик готовится к истерике*
Пишу по правилам, так любезно предоставленными Protopopulus, и что - снова все те же
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere           
WORKTCP    tcp  --  anywhere             anywhere           
WORKUDP    udp  --  anywhere             anywhere           
SERVICE    icmp --  anywhere             anywhere - и только дальше записи из скрипта
Хуже того - iptables-save все разрешает, все, и показывает совсем не то - старые правила, хотя я сохраняла и видела - ls -lA /etc/network/if-up.d/ipt*
Может, что-то с этими ай-пи-таблицами? А может, это firestarter мешает - иногда какие-то строчки, указанные именно в его настройках выскакивают - я их не писала точно. И еще когда терминал открываю, не всегда пароль спрашивает - пару раз так пропускал, без sudo, может, что-то с системой...

[AnrDaemon]

Показывайте результирующий iptables-save
Будем смотреть.

СТОООП.
Что значит "firestarter" ? Вы уже определитесь, если вы пишете правила сама, сносите все ufw и firestarter'ы к такой-то матери.

[Lara]

Доброго времени. Вот мой iptables-save  

(Нажмите, чтобы показать/скрыть)

# Completed on Thu Jul 14 01:56:28 2011
# Generated by iptables-save v1.4.4 on Thu Jul 14 01:56:28 2011
*mangle
:PREROUTING ACCEPT [306:246880]
:INPUT ACCEPT [306:246880]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [300:30555]
:POSTROUTING ACCEPT [302:31173]
COMMIT
# Completed on Thu Jul 14 01:56:28 2011
# Generated by iptables-save v1.4.4 on Thu Jul 14 01:56:28 2011
*filter
:INPUT ACCEPT [2:618]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [101:6782]
:SERVICE - [0:0]
:WORKTCP - [0:0]
:WORKUDP - [0:0]
-A INPUT -p icmp -j SERVICE
-A INPUT -p icmp -f -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -j WORKTCP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp -m multiport --dports 783 -j DROP
-A INPUT -p tcp -m tcp -m multiport --dports 3310 -j DROP
-A INPUT -p tcp -m tcp -m multiport --dports 10000 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p tcp -m tcp --dport 631 -j DROP
-A INPUT -p tcp -m tcp --dport 1080 -j DROP
-A INPUT -p tcp -m tcp --dport 98 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j DROP
-A INPUT -p tcp -m tcp --dport 23 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -p tcp -m tcp --dport 137:138 -j DROP
-A INPUT -p tcp -m tcp --dport 135 -j DROP
-A INPUT -p udp -j WORKUDP
-A INPUT -p udp -m udp --dport 137:138 -j DROP
-A INPUT -p udp -m udp --dport 3049 -j DROP
-A INPUT -p udp -m udp --dport 517:518 -j DROP
-A INPUT -p udp -m udp --dport 445 -j DROP
-A OUTPUT -p tcp -m multiport --sports 80 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,5190 -j ACCEPT
COMMIT
# Completed on Thu Jul 14 01:56:28 2011
lanas@lanas-System-Product-Name:~$

Да, хотела сама - сначала испугалась, поставила стартер этот, посмотрела, неудобно как-то, решила что в правилах проще сформулировать что нужно - не тут то было. Но я должна их понять...

Поняла, стартер сношу - думала, выключенный он не мешает.

[Protopopulus]

Lara, удалите Firestarter и ufw:

Код: [Выделить]

sudo apt-get purge firestarter ufwА потом запустите мой скрипт и посмотрите что у Вас получилось в iptables -L -vn.

[AnrDaemon]

Бессмысленный и бесполезный шум.

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Thu Jul 14 01:56:28 2011

ВСЁ!!!!!!

[Lara]

Шум бессмысленный - да, смысла в своих таблицах я и сама особого не вижу - что ж, значит не дано всем за 4 дня освоить... но небесполезный. Мне нужен защищенный компьютер, вот и пытаюсь как могу - смешно, согласна. Но мне придется сидеть над ними, пока я их не разрулю.
Ида,  AnrDaemon, по поводу смысла - какой смысл имеет это -  https://forum.ubuntu.ru/index.php?topic=99586.0 - для кого вы писали, для тех, кто все знает, все умеет - так им не нужно, или для тех, кто пытается научиться? Если для этих бедолаг - то это была бесполезная трата времени - все равно кроме как на бесполезный шум большинство не способны - по вашему же мнению.  Обидно, очень обидно, когда спрашиваешь, а читающие твои пусть и унылые, но все равно попытки что-то сделать,  отмахиваются от тебя как от назойливой мухи, называя их бесполезным шумом.

Пользователь решил продолжить мысль 14 Июля 2011, 03:40:43:

Lara, удалите Firestarter и ufw:

Код: [Выделить]

sudo apt-get purge firestarter ufwА потом запустите мой скрипт и посмотрите что у Вас получилось в iptables -L -vn.

Все сохраняется, спасибо Теперь

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jul 14 02:38:48 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:SERVICE - [0:0]
:WORKTCP - [0:0]
:WORKUDP - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -j WORKTCP
-A INPUT -p udp -j WORKUDP
-A INPUT -p icmp -j SERVICE
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A SERVICE -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 1 -j ACCEPT
-A SERVICE -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec -j ACCEPT
-A SERVICE -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A SERVICE -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A SERVICE -p icmp -j DROP
-A WORKTCP -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
-A WORKTCP -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A WORKTCP -m state --state ESTABLISHED -j ACCEPT
-A WORKUDP -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
-A WORKUDP -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jul 14 02:38:48 2011
# Generated by iptables-save v1.4.4 on Thu Jul 14 02:38:48 2011
*mangle
:PREROUTING ACCEPT [650:456978]
:INPUT ACCEPT [650:456978]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [649:124821]
:POSTROUTING ACCEPT [651:125439]
COMMIT
# Completed on Thu Jul 14 02:38:48 2011
# Generated by iptables-save v1.4.4 on Thu Jul 14 02:38:48 2011
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [205:12745]
:POSTROUTING ACCEPT [205:12745]
COMMIT
# Completed on Thu Jul 14 02:38:48 2011

[AnrDaemon]

Я вам показал, как защитить ВСЁ.
Что в моих правилах по-вашему небезопасно?

Раз сами смысла не видите - выкидывайте не стесняясь.
Нечего всякий мусор держать в системе.

[Lara]

AnrDaemon, Вы проверяете меня на знание предмета? Так что - практически нулевое по сути дела. Но вы для себя, пользуясь ммм.. короче интернет-банкингом, такие же правила составили бы? И, будучи неуверенным пользователем, как я, были бы спокойны? И спокойно бы реагировали на то, как люди сведущие ваши попытки называли бесполезными?

Да, с вами не соскучишься - да, уже выкинула свой мусор. А можно полюбопытствовать - после того, как вы впервые увидели линукс, на какой день вы стали в нем шедевруозно ориентироваться? Сразу, через пять-десять минут, на следующий день?
И сразу же стали производить не мусор, а высококачественный продукт интеллектуальной деятельности?
Не будьте таким категоричным. Я видела, вы многим помогали советом, многим подсказывали - эт хорошо, но зачем людей расстраить просто так - мусор, мусор.. А не проще сказать - неправильно, нельзя так или просто промолчать? Вы что, не понимаете, вы просто утверждаете человека в том, что он - тупица. Нет, нельзя так.

[AnrDaemon]

Да, представь себе, я бы начал правила именно так. Разве что icmp бы уделил больше внимания, когда уже всё заработало.
Пойми, нет никакого смысла перегружать сервер бессмысленными проверками (по десять раз проверять, а не tcp ли это протокол?), или держать в памяти правила, до которых никогда не доходит очередь (все эти проверки невалидных флагов после -m state --state INVALID -j DROP просто никогда не будут выполнены).
Ещё раз, не надо изобретать велосипед. Я не считаю себя гуру, но тешу себя надеждой, что хорошо представляю себе работу нетфильтра.
Так вот, с моей колокольни, ваши правила сложно читать, ещё сложнее в них разобраться и тривиально допустить ошибку, которая будет стоить вам работы, если вы не врёте, что это будет связано с интернет банкингом.

Если писать совсем полностью, то правила были бы примерно такие:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i <ext_IF> -p <proto> -m <proto> --dport <service_port> -m state --state NEW -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES-UNKNOWN "
COMMIT

Все пакеты, не попавшие в одно из предыдущих правил, будут валиться в лог. Предупреждаю, их там будет ДОХРЕНА, если только перед этой машиной не стоит другого шлюза, отсекающего лишний трафик. Пытаться блокировать этот интернет-шум принудительно - бессмысленно, он всё равно уже заблокирован правилом по умолчанию.
Но в академических целях, иногда полезно этот трафик проанализировать. Для анализа лучше всего настроить фильтрацию лога в отдельный файл по префиксу, чтобы не мусорить в syslog.

[Lara]

Спасибо Уже перегрузила.
Насчет работы - а что врать, уже стоило - не работы, зароботка, но теперь боюсь даже заходить туда, и уже 3 ночи не сплю с этими правилами. Паранойя расцвела с недавних пор просто - вот и решила экстерном освоить Ubuntu, но не вышло.
Фраза "Для анализа лучше всего настроить фильтрацию лога в отдельный файл по префиксу" так и остлась загадкой - читать логи, думаю, я еще не в состоянии.
Но я опять за свое - все таки, как же эти все уязвимости-троянские порты-открытые? Ведь нужно - не все по умолчанию закрыты... Я столько насобирала их...
Ладно, я не спорю, чтобы спорить, нужны аргументы в запасе. А нету.
Попробую завтра так на свежую голову - согласна - хоть и обидно, да мусор совсем выходит, одно пишу, другим сразу же обнуляю.
Ида, может и меня бы немного раздражал шум "спасите-помогите, но я ничего не знаю" - выглядит как "сделайте за меня". Я должна понимать, что делаю - но вы не обязаны всем и каждому разжевывать все. Все правильно.
Кстати, ваши советы по форуму читала, пригодились, то что вы пишите имеет смысл

[AnrDaemon]

Ой, про чтение логов нетфильтра не надо... Я сам их читаю только после бутылки чего-то, отличного от воды.
По поводу загадок - яндекс по запросу "rsyslog фильтрация" выдаёт внушительный список вменяемых отгадок.
У меня например стоит такой фильтрик: (по другому поводу)

(Нажмите, чтобы показать/скрыть)

$ cat /etc/rsyslog.d/10-remote-adsl.conf /etc/rsyslog.d/10-remote-vpn.conf

:HOSTNAME, isequal, "adsl"      -/var/log/remote/adsl.log
& ~

:HOSTNAME, isequal, "vpn"       -/var/log/remote/vpn.log
& ~

Паранойя - штука полезная, до тех пор, пока не начинаешь распространять её на окружающих.
Как они будут открыты, если по умолчанию у вас правило "всё закрыть"? (Про то, что все эти уязвимости должны где-то быть, а у вас этого где-то просто не запущено, я пока умолчу. Останемся в топике, так сказать.)

[ubuntar]

AnrDaemon, создал тему но теперь вижу,что всё-таки поторопился.
Вопрос к Вам как к одному из знающих:
 
Правила  по умолчанию ,следуя вашей логике (это как я понял из темы), нужно писать в конце,а не в начале? То есть чтобы пакет вообще дошёл до правила DROP,сначала его нужно пропустить через все нужные правила ACCEPT,FORWARD и прочие?
Или умолчания - это то,что выполняется,если нет других правил вообще,то есть по сути приоритет правила по умолчанию как бы ниже,и поэтому не страшно в начале скрипта установить -P DROP?

[AnrDaemon]

Умолчания - это то, на что пакет натыкается, если никуда больше не попал.
Правила по умолчанию не "пишутся", внимательно читаем значение ключа -P
Серьёзно, почитайте самое начало man iptables, там это есть.

[ubuntar]

AnrDaemon спасибо Вам!

[Userboy]

 Как сделать сброс всех настроек iptables?