Автор Тема: HOWTO: Iptables для новичков (Прочитано 526920 раз)

no_fhantazzy · « **Ответ #780 :** 16 Июля 2010, 14:26:59 »

UPD: та же проблема, машина пингуется из инета $:-\$

на порты сканер не ругается, там вроде все ок

полное содержание rc.local:

/sbin/iptables -P INPUT DROP
INET_IFACE="eth0"
/sbin/iptables -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A FORWARD -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

exit 0

aSmile · « **Ответ #781 :** 16 Июля 2010, 14:32:13 »

Цитата: no_fhantazzy от 16 Июля 2010, 14:26:59

UPD: та же проблема, машина пингуется из инета $:-\$

на порты сканер не ругается, там вроде все ок

полное содержание rc.local:

/sbin/iptables -P INPUT DROP
INET_IFACE="eth0"
/sbin/iptables -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A FORWARD -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

exit 0

Mam(O)n же написал, что надо исправить.

no_fhantazzy · « **Ответ #782 :** 16 Июля 2010, 14:52:08 »

то же самое -- все порты stealthed, но машина пингуется

содержание rc.local:

/sbin/iptables -P INPUT DROP
INET_IFACE="eth0"
/sbin/iptables -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-request -j DROP
/sbin/iptables -A FORWARD -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

exit 0

Mam(O)n · « **Ответ #783 :** 16 Июля 2010, 14:54:00 »

Цитата: no_fhantazzy от 16 Июля 2010, 14:52:08

содержание rc.local:

Это не объективно. Показывай sudo iptables-save

no_fhantazzy · « **Ответ #784 :** 16 Июля 2010, 14:57:09 »

# Generated by iptables-save v1.4.4 on Fri Jul 16 14:58:28 2010
*mangle
:PREROUTING ACCEPT [7233:1933591]
:INPUT ACCEPT [7124:1923650]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3308:525575]
:POSTROUTING ACCEPT [3308:525575]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jul 16 14:58:28 2010
# Generated by iptables-save v1.4.4 on Fri Jul 16 14:58:28 2010
*filter
:INPUT DROP [4163:194568]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j RETURN
-A ufw-after-input -p udp -m udp --dport 138 -j RETURN
-A ufw-after-input -p tcp -m tcp --dport 139 -j RETURN
-A ufw-after-input -p tcp -m tcp --dport 445 -j RETURN
-A ufw-after-input -p udp -m udp --dport 67 -j RETURN
-A ufw-after-input -p udp -m udp --dport 68 -j RETURN
-A ufw-after-input -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Fri Jul 16 14:58:28 2010

aSmile · « **Ответ #785 :** 16 Июля 2010, 15:03:13 »

Цитата: no_fhantazzy от 16 Июля 2010, 14:57:09

-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT

Вот это как раз и разрешает пинги. Копай конфиги ufw.

no_fhantazzy · « **Ответ #786 :** 16 Июля 2010, 15:06:03 »

ufw вообще странноватый

я через GUI запрещаю ему FTP, к примеру - а он все равно на сайты залезает, и прекрасно файлы стягивает

это, мягко говоря, и насторожило, -- захотелось все входящие радикально запретить и пинг тоже

или этого недостаточно?

Mam(O)n · « **Ответ #787 :** 16 Июля 2010, 15:06:42 »

Мамародная.... Как мне разувидеть это обратно.... ufw етитьская сила...

iptables -I INPUT -p icmp -m icmp --icmp-type echo-request -j DROP и хрен знает, до каких пор его ufw не перезапишет... По ufw я не помощник.

no_fhantazzy · « **Ответ #788 :** 16 Июля 2010, 15:09:26 »

сейчас попробую его аДключить

UPD: красота, под Windowsми такого не увидеть!

отключенный uwf не может изменить мои 2 [некорректные] правила - и поэтому доступа нет совсем, никуда

пришлось снова его включить - и тогда появилась аська, почта, веб и тд

то есть то, что должно запрещать, еще и разумно разрешает, если напортачить

спасибо всем, буду разбираться с "пинг-настройками" uwf

Wahlberg · « **Ответ #789 :** 20 Июля 2010, 23:21:57 »

Здравствуйте, я вот уже второй день как поставил Ubuntu на своем компьютере и не могу найти решение.

Раньше мой интернет имел структуру:

первый компьютер(семерка), имеет две сетевухи, одна из которых есть ВПН подключение, вторая сетевуха имеет ip 192.168.0.1, и маску 255.255.255.0, как понял здесь это 0.0.0.0/24

Второй компьютер(ХПшка), имеет одну сетевую, прямое подключение на первый комп, имеет ip 192.168.0.2, netmask 255.255.255.0, шлюз 192.168.0.1, первичный ДНС 81.28.160.1, вторичный ДНС 81.28.160.111.

Теперь:

первый компьютер(семерка), имеет две сетевухи, одна из которых есть ВПН подключение, вторая сетевуха имеет ip 192.168.0.1, и маску 255.255.255.0, как понял здесь это 0.0.0.0/24

Второй компьютер(Ubuntu 10), имеет одну сетевую, прямое подключение на первый комп, имеет ip 192.168.0.2, netmask 255.255.255.0, шлюз 192.168.0.1, первичный ДНС 81.28.160.1, вторичный ДНС 81.28.160.111.

Как я понял, нужно что-то прописать через командную строку iptables, но к сожалению так и не пойму что(((

Mam(O)n · « **Ответ #790 :** 20 Июля 2010, 23:33:11 »

Цитата: Wahlberg от 20 Июля 2010, 23:21:57

не могу найти решение.

Решение чего? Где описание проблемы?

djrust · « **Ответ #791 :** 20 Июля 2010, 23:37:05 »

Получить то что хочешь?Настраивай Ubuntu и все

тут настройки сети /etc/network/interfaces

Код: [Выделить]

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1

eth0 имя сетевой

тут настройки DNS
/etc/resolv.conf

Код: [Выделить]

nameserver 81.28.160.1
nameserver  81.28.160.111

Wahlberg · « **Ответ #792 :** 20 Июля 2010, 23:51:48 »

Он запрещает изменение этого файла и я не пойму в чем дело, через командную строку отказывает.... $:-\$ $:-\$

AnrDaemon · « **Ответ #793 :** 21 Июля 2010, 00:14:59 »

man sudo

Mam(O)n · « **Ответ #794 :** 21 Июля 2010, 00:22:56 »

Цитата: Wahlberg от 20 Июля 2010, 23:51:48

Он запрещает изменение этого файла и я не пойму в чем дело, через командную строку отказывает.... $:-\$ $:-\$

Ubuntu Desktop? Тогда объясни, прежде чем лезть в системные конфиги, чем не устраивает настройка сети через NetworkManager?

(Нажмите, чтобы показать/скрыть)

Форум русскоязычного сообщества Ubuntu

Автор Тема: HOWTO: Iptables для новичков (Прочитано 526920 раз)

no_fhantazzy

Re: HOWTO: Iptables для новичков

aSmile

Re: HOWTO: Iptables для новичков

no_fhantazzy

Re: HOWTO: Iptables для новичков

Mam(O)n

Re: HOWTO: Iptables для новичков

no_fhantazzy

Re: HOWTO: Iptables для новичков

aSmile

Re: HOWTO: Iptables для новичков

no_fhantazzy

Re: HOWTO: Iptables для новичков

Mam(O)n

Re: HOWTO: Iptables для новичков

no_fhantazzy

Re: HOWTO: Iptables для новичков

Wahlberg

Re: HOWTO: Iptables для новичков

Mam(O)n

Re: HOWTO: Iptables для новичков

djrust

Re: HOWTO: Iptables для новичков

Wahlberg

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

Mam(O)n

Re: HOWTO: Iptables для новичков