Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: многострадальный iptables (уточнение)  (Прочитано 416 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн slyberkut

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
  • Ubuntu 14.04 Server, GA-X48-DQ6, Q9650
    • Просмотр профиля
многострадальный iptables (уточнение)
« : 22 Декабрь 2016, 12:47:35 »
Приветствую все юниксоидов!

Я уже начал путаться с этим фильтром, поэтому возник вопрос

Есть сервер, через который проходит трафик, для него актуально правило цепочки FORWARD, и есть конечный компьютер, находящийся за сервером, нужно запретить все, кроме RDP.

Даю правило iptables -A FORWARD -d 192.168.20.13 -p tcp --dport 3389 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT на разрешение RDP, далее даю правило остальное запретить iptables -A FORWARD -d 192.168.20.13 -j DROP

Соответственно оно работает как надо, то есть если с компьютера послать любой запрос, будь то эхо, трассировка или браузер наконец, пакет уйдет на конечный сервер, но за счет правила не сможет получить ответ, потому как мы все дропим

Но если дать правило iptables -A FORWARD -s 192.168.20.13 -j DROP то дропается абсолютно все, в том числе ранее прокинутый RDP, то есть у нас компьютер вообще не может послать какой-либо запрос(!!!и получить ответ??!!!). Но у нас есть правило, которое гласит, что можно устанавливать новые и поддерживать существующие.

Вопрос, --ctstate NEW,ESTABLISHED,RELATED распространяется только на destination и не более? Соответственно если дропаем по источнику, то на источнике и надо разрешить тот же RDP?
Плюс - минус = заряд, фаза - ноль = ???

Оффлайн snowin

  • Активист
  • *
  • Сообщений: 598
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #1 : 22 Декабрь 2016, 12:53:52 »
slyberkut, а если правила поменять местами?

alexxnight

  • Гость
Re: многострадальный iptables (уточнение)
« Ответ #2 : 22 Декабрь 2016, 12:58:29 »
Да, Вы действительно запутались...
https://www.opennet.ru/docs/RUS/iptables/
там есть оглавление, Порядок прохождения пакетов

и еще поищите в инете вот такую картинку Netfilter-diagram-rus.png

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #3 : 22 Декабрь 2016, 13:02:55 »
1. А смысл добавлять фильтр по состоянию пакета?
2. При непонятках, имеет смысл рассматривать всю цепочку, а ещё лучше весь список правил, а не отдельно взятые. Потому без выхлопа iptables-save разговор будет на уровне "может быть".
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн slyberkut

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
  • Ubuntu 14.04 Server, GA-X48-DQ6, Q9650
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #4 : 22 Декабрь 2016, 14:25:15 »
slyberkut, а если правила поменять местами?
Ну а смысл это делать? Если я все верно понял оно будет работать точно так же, только от источника

Да, Вы действительно запутались...
https://www.opennet.ru/docs/RUS/iptables/
там есть оглавление, Порядок прохождения пакетов

и еще поищите в инете вот такую картинку Netfilter-diagram-rus.png

О блин, а я это искал как раз....(я про мануал)

1. А смысл добавлять фильтр по состоянию пакета?
2. При непонятках, имеет смысл рассматривать всю цепочку, а ещё лучше весь список правил, а не отдельно взятые. Потому без выхлопа iptables-save разговор будет на уровне "может быть".
А зачем? других то правил в системе нету... ESTABLISHED ради эксперимента добавил
Плюс - минус = заряд, фаза - ноль = ???

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #5 : 22 Декабрь 2016, 15:54:07 »
(Нажмите, чтобы показать/скрыть)
А зачем?
Затем, что правила работают все вместе, а не каждое по отдельности.
« Последнее редактирование: 22 Декабрь 2016, 16:05:00 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн slyberkut

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
  • Ubuntu 14.04 Server, GA-X48-DQ6, Q9650
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #6 : 22 Декабрь 2016, 17:10:53 »
(Нажмите, чтобы показать/скрыть)
А зачем?
Затем, что правила работают все вместе, а не каждое по отдельности.

Ну не все вместе, если правило не соответствует критерию, оно идет дальше, то есть вниз...Забыл как это научно называется(((
Плюс - минус = заряд, фаза - ноль = ???

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: многострадальный iptables (уточнение)
« Ответ #7 : 22 Декабрь 2016, 19:24:10 »
Думаю мне пора покидать этот топик. ТС лучше знает, какая информация нужна для выявления и устранения проблемы.
Отхожу в сторону и буду оттуда наблюдать...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.073 секунд. Запросов: 24.