HOWTO: Iptables для новичков

[ConnaiSSant]

Нет доступа из интернета на 1194 порт (из локалки, с другого устройства доступ есть), ткните пожалуйста пальцем, не вижу где косяк. Может плохой интернет был, поэтому не удавалось соединиться ( но пока ехал домой, около получала тыкал на кнопку подключиться и не было ответа)

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Sun Feb 26 17:10:52 2017
*nat
:PREROUTING ACCEPT [237:18431]
:INPUT ACCEPT [34:1828]
:OUTPUT ACCEPT [234:16731]
:POSTROUTING ACCEPT [234:16731]
-A POSTROUTING -s 10.8.0.0/24 -o enp0s3 -j MASQUERADE
COMMIT
# Completed on Sun Feb 26 17:10:52 2017
# Generated by iptables-save v1.4.21 on Sun Feb 26 17:10:52 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [326:36664]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j f2b-sshd
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A f2b-sshd -j RETURN
COMMIT

grep "proto" /etc/openvpn/server.conf

(Нажмите, чтобы показать/скрыть)

;proto tcp
proto udp

[fisher74]

я бы для начала избавился от --state NEW в правиле для 1194. Оно хоть вроде бы и работает...
Но как-то узенько зрите. Мне кажется нужно шире смотреть, а не упираться в правила netfilter.

[ConnaiSSant]

я бы для начала избавился от --state NEW в правиле для 1194. Оно хоть вроде бы и работает...
Но как-то узенько зрите. Мне кажется нужно шире смотреть, а не упираться в правила netfilter.

Ну понятно, а в какую сторону направить свой узенький взор? В принципе, соглашусь, в правиле -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT - -m state --state NEW лишнее, можно просто -A INPUT -p udp -m udp --dport 1194 -j ACCEPT и ничего не измениться и для 22 порта тоже самое (он все равно контролируется с помощью fail2ban)

Вспомнил, где то тут в теме видел сообщение о том, что не стоит использовать -A INPUT -j REJECT --reject-with icmp-host-prohibited, а просто ставить политику по умолчанию, либо в правиле указать -j DROP поступающих на интерфейс пакетов. Интересно, а почему?

[fisher74]

не стоит использовать -A INPUT -j REJECT --reject-with icmp-host-prohibited, а просто ставить политику по умолчанию, либо в правиле указать -j DROP поступающих на интерфейс пакетов. Интересно, а почему?

Это разный подход к организации защиты.

а в какую сторону направить свой узенький взор?

Расширяйте его до общей диагностики сети. Может у Вас с маршрутами абзац... или ssh с того же гаджета работает?

[ConnaiSSant]

Расширяйте его до общей диагностики сети. Может у Вас с маршрутами абзац... или ssh с того же гаджета работает?

Не мог подключиться и по ssh. Хотя fail2ban каждый день шлет письма на почту о заблокированных ip адресах. Склоняюсь, что все же интернет те самые пол часа плохо работал. Как видите, в iptables нет ограничений по этому поводу. Просто дома не ловит сигнал сотовый, бункер одним словом
Пользователь добавил сообщение 27 Февраля 2017, 17:03:19:tail -f -n0 openvpn.log

Код: [Выделить]

Mon Feb 27 16:53:52 2017 192.168.1.240:60448 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 27 16:53:52 2017 192.168.1.240:60448 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb 27 16:53:52 2017 192.168.1.240:60448 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 27 16:53:52 2017 192.168.1.240:60448 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mon Feb 27 16:53:52 2017 192.168.1.240:60448 [client] Peer Connection Initiated with [AF_INET]192.168.1.240:60448
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 MULTI: Learn: 10.8.0.6 -> client/192.168.1.240:60448
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 MULTI: primary virtual IP for client/192.168.1.240:60448: 10.8.0.6
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 PUSH: Received control message: 'PUSH_REQUEST'
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 send_push_reply(): safe_cap=940
Mon Feb 27 16:53:52 2017 client/192.168.1.240:60448 SENT CONTROL [client]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Mon Feb 27 16:54:09 2017 client/192.168.1.240:60448 SIGTERM[soft,remote-exit] received, client-instance exiting

А если командую в терминале и на улице пытаюсь подключиться, то ничего не появляется. Я пожалуй создам отдельную тему. Спасибо

[AnrDaemon]

Это разный подход к организации защиты.

Это не разный подход, это защита от бессмысленного и бесполезного флуда в сети.
Не стоит оголтело использовать --reject-with без большой на то необходимости.

[BAKT]

Прошу помощи.
Имею вот такой вот конфиг iptables:

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.6.0 on Sat Apr 15 02:26:41 2017
*nat
:PREROUTING ACCEPT [1465:131631]
:INPUT ACCEPT [130:9665]
:OUTPUT ACCEPT [4:288]
:POSTROUTING ACCEPT [4:180]
COMMIT
# Completed on Sat Apr 15 02:26:41 2017
# Generated by iptables-save v1.6.0 on Sat Apr 15 02:26:41 2017
*filter
:INPUT DROP [305:48855]
:FORWARD ACCEPT [25:1824]
:OUTPUT DROP [28:4297]
:BAN - [0:0]
:C_FILTER - [0:0]
:WH_LIST - [0:0]                                                                                                       
-A INPUT -i lo -m comment --comment "ALLOW all LOOPBACK traffic by default" -j ACCEPT                         
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT                           
-A INPUT -i eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT                               
-A INPUT -i eth0 -m state --state NEW -j BAN                                                                   
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t" --algo bm --to 70 -m comment --comment "Logging web-bot" -j LOG --log-prefix "Web BOT #w00tw00t**" --log-level 6
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t" --algo bm --to 70 -m comment --comment "Blocking web-bot" -j DROP
-A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT               
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT               
-A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -m limit --limit 25/min --limit-burst 100 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT                   
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT                   
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o lo -m comment --comment "ALLOW all LOOPBACK traffic by default" -j ACCEPT                   
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A BAN -m set --match-set BAN src -j DROP
-A BAN -m set ! --match-set BAN src -j C_FILTER
-A BAN -j RETURN
-A C_FILTER -m set ! --match-set C_FILTER src -j WH_LIST
-A C_FILTER -m set --match-set C_FILTER src -j RETURN
-A WH_LIST -m set --match-set WH_LIST src -j RETURN
-A WH_LIST -m set ! --match-set WH_LIST src -j DROP
COMMIT
# Completed on Sat Apr 15 02:26:41 2017

Далее, устанавливаю на машину OpenVPN, после чего добавляю необходимые правила в iptables

Код: [Выделить]

iptables -I INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT

iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

iptables -A OUTPUT -o tun0 -j ACCEPT

И вроде всё правильно, вот только до тех пор, пока правила по умолчанию для INPUT\OUTPUT не поставишь в ACCEPT - клиент не может приконнектиться к серверу. Что я делаю не так?

[fisher74]

А потому что здесь уже стотыщпицотмильонов раз говорили, что OUTPUT -P DROP чаще ведёт к проблемам, нежели к повышению безопасности
Отвечу встречным вопросом: каким правилом разрешается серверу OVPN общаться с клиентом?

[BAKT]

У меня грабли с поролоновой обмоткой 

По существу вопроса могу сказать, что разобрался сам на следующий день (ибо спать нужно в половине четвёртого ночи, а не компы настраивать!  ). Как я понял у меня и в INPUT, и в OUTPUT не хватало пару правил.

В любом случае - спасибо что ответили.

[ulan44]

Доброго времени суток.

На одном сервере есть две утилиты которые общаются между собой по 34000 порту/tcp как мне закрыть доступ чтобы они не смогли передавать данные между собой?

[fisher74]

От Вас варианты будут? Или Вы прищли за готовым решением?

ЗЫ тема "Iptables для новичков", а не тех кому лень почитать про сабж

[ulan44]

От Вас варианты будут? Или Вы прищли за готовым решением?

ЗЫ тема "Iptables для новичков", а не тех кому лень почитать про сабж

Я пришел за готовым решением ))) мои варианты будут когда до дома доеду и подумаю.

[fisher74]

ждём Вашего приезда и подумываания

[sa-well-ev]

Подскажите пожалуйста как можно с iptables решить такую задачу.
На роутер на UDP порт скажем 7 из интернета приходит Magic пакет для пробудки компьютера. Есть переброс порта UPD 7 на IP в локальной сети 192.168.0.59. Если компьютер выключен менее 10 минут назад - пакет проходит до назначения и компьютер включается. Если проходит 10 минут успевает очиститься ARP - таблица и пакет не проходит. Подскажите как настроить переброс этого magic пакета из интернета с порта 7 UDP на броадкаст. Вбивание просто 192.168.0.255 или 255.255.255.255 - не помогает. Правило откидывается.

[fisher74]

добавить статическую запись в arp-таблицу, не?