Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptabeles : как узнать заранее какой sport порт будет для сервера ?  (Прочитано 1350 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Привет !

Ситуация: поднят сервер с sshd ( SRV ). Удаленный пользователь подключается к нему ( CLIENT ).

Волнует такой вопрос:
Если sport - Исходный порт, с которого был отправлен пакет.
и
dport - Порт, на который адресован пакет.

dport для сервера будет 22 ( берем стандартный, без возможности указать кастомный ).
Какой же тогда будет sport ( если мы смотрим со стороны сервера ?)

То есть моя цель - отфильтровать цепочку OUTPUT. Для этого нужно знать какой был исходный порт, с которого был отправлен пакет. Как это сделать ? Не имея доступа к CLIENT, а только имея доступ к SRV ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Исходящий порт клиента динамический в диапазоне 1024-65535
Вы перемудриваете. Сервер будет отвечать с того же порта, на который получил запрос на соединение. На этом знании и строятся правила.

Но я Вас предупреждаю: -P OUTPUT DROP - в большей степени приводит к проблемам нежели к усилению защиты.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Исходящий порт клиента динамический в диапазоне 1024-65535
Вы перемудриваете. Сервер будет отвечать с того же порта, на который получил запрос на соединение. На этом знании и строятся правила.

Но я Вас предупреждаю: -P OUTPUT DROP - в большей степени приводит к проблемам нежели к усилению защиты.

Спасибо.
То есть, если сервер слушает кастомный порт ssh, скажем, 2277, то
sport = dport = 2277 ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
сено с соломой перемешали и силосом прикрыли.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
сено с соломой перемешали и силосом прикрыли.
А по существу ? =)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
По существу: Вы всё собрали в одну кучу, не разобравшись как это вообще работает.

Мой Вам совет: НЕ ТРОГАЙТЕ ЦЕПОЧКУ OUTPUT. Мастадонты правил netfilter частенько запутываются в правилах этой цепочки, а уж тем кто на начальном пути - вообще лучше наступать в это.

Пользователь добавил сообщение 04 Апрель 2017, 15:17:58:
Чтобы Вы не упрекали меня в том, что я воду лью - отвечу на Ваш вопрос.
Да, dport и sport будут одинаковы, но не для всех случаев.
Рассказывать Вам основы обмена в сетях у меня нет ни способностей, ни желания.
« Последнее редактирование: 04 Апрель 2017, 15:17:58 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Ну вот, можете, когда хотите =)
>Да, dport и sport будут одинаковы, но не для всех случаев.
Какие это случаи, например ?

И почему вообще не трогать цепочку OUTPUT ?
Пример из жизни можно ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Какие это случаи, например ?
Для обмена между хостами их всего два. Тут уж сами попробуйте догадаться.

Пример из жизни можно ?
Нет, нельзя. Я стараюсь обходить стрёмные места про которые знаю. Потому именно в -P OUTPUT DROP пока не вляпывался, чего и Вам желаю.
Сначала просто верил, но позже, когда стал понимать более глубже процессы, происходящие с системой в сети, понял возможные риски.

Хотя чего я Вас уговариваю? Идите. Наступайте на грабли и набивайте шишки. Человек утроен так, что про свои шишки он помнит лучше, чем про чужие увечья.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2261
    • Просмотр профиля
Известный мне случай (возможно, спорный, но я использую), когда -P OUTPUT DROP имеет право на существование - если Вам необходимо надежно закрыть возможность "свечения" в интернет с какого-либо сервера, оставив возможность обмена по внутренним сетям:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 10.0.0.0/8 -j ACCEPT
-A OUTPUT -d 127.0.0.0/8 -j ACCEPT
-A OUTPUT -d 172.16.50.0/24 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "** DROPPED **:"
COMMIT

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
ТС просит фатальный случай с -P OUTPUT DROP
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2261
    • Просмотр профиля
Фатальный - практически любое другое использование -P OUTPUT DROP  ;)

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
ТС просит фатальный случай с -P OUTPUT DROP
Почему нельзя ?
Зная, какие сервисы работают на машине и открыв только им доступ ( в output ), почему нельзя блокировать все остальное ( в output ) ?
« Последнее редактирование: 04 Апрель 2017, 17:02:39 от _art_ »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Зная, какие сервисы работают на машине...
Вы фактически уже заносите ногу над граблями, опираясь на эти условия.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2261
    • Просмотр профиля
Не то, что нельзя - не стоит. Ну, например потому, что сервисы предназначены (обычно) для обслуживания входящих соединений. Соответственно, обычно стоит рулить (запрещать либо разрешать) именно входящими.

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Не то, что нельзя - не стоит. Ну, например потому, что сервисы предназначены (обычно) для обслуживания входящих соединений. Соответственно, обычно стоит рулить (запрещать либо разрешать) именно входящими.
Ясно. Это уже ближе к делу.
Спасибо.
А так, это оно всегда: sport будет равен dport для сервиса ?

 

Страница сгенерирована за 0.114 секунд. Запросов: 24.