Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Правило iptables  (Прочитано 707 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Правило iptables
« : 13 Май 2017, 20:45:57 »
Приветствую всех!
Ребята, помогите. Нужно закрыть подключение к внешнему порту (к примеру 111).
К серверу подключаются через VPN.
Почему не работает правило:
iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m tcp --dport 111 -j DROPЗаранее спасибо откликнувшимся!
« Последнее редактирование: 13 Май 2017, 20:47:28 от hidot95 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Правило iptables
« Ответ #1 : 13 Май 2017, 23:05:02 »
вариантов несколько:
1. страждующие не из указанного диапазона
2. перекрываете tcp, а используется udp
3. Перед этим правилом маячит разрещающее терминирующее правило
и ещё много разных вариантов
А потому говорить о неработоспособности ОДНОГО правила из всей цепочки - всё равно, что оценивать роман "Война и мир" по одной строке из него.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Правило iptables
« Ответ #2 : 14 Май 2017, 10:00:02 »
fisher74, прошу вашей помощи
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i tun1 -m comment --comment xyz -j ACCEPT
-A INPUT -i tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -o tun1 -m comment --comment xyz -j ACCEPT
-A FORWARD -i tun1 -m comment --comment xyz -j ACCEPT
-A FORWARD -o tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -i tun0 -m comment --comment xyz -j ACCEPT
-A FORWARD -p udp -m udp --dport 111 -j DROP
-A FORWARD -p tcp -m tcp --dport 111 -j DROP
-A OUTPUT -o tun1 -m comment --comment xyz -j ACCEPT
-A OUTPUT -o tun0 -m comment --comment xyz -j ACCEPT
tun1, tun0 - для подключения для tcp, udp

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Правило iptables
« Ответ #3 : 14 Май 2017, 18:26:21 »
Разберитесь, что делает каждое из правил в цепочке FORWARD и является ли оно терминирующим (кстати, знаете что это значит?).
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Правило iptables
« Ответ #4 : 14 Май 2017, 18:47:34 »
кстати, знаете что это значит?
Один старожил писал:
Цитировать
Если срабатывает терминирующее правило, то прохождение пакета по цепочке прекращается и переходит в следующую цепочку.
Я поставил нужные мне правила выше и все заработало. Выходит разрешающее правило срабатывало раньше запрещающего. Верное решение?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Правило iptables
« Ответ #5 : 14 Май 2017, 21:43:21 »
Вывод верный.
Ели Вы получили то что ожидали, то решение тоже правильное.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Правило iptables
« Ответ #6 : 15 Май 2017, 06:59:19 »
fisher74, скажите, пожалуйста, а если вместо 111-го порта прописать 25-й (и пару шифрующих), то никто из клиентов, подключившихся к серверу посредством VPN, почту отправлять не сможет?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Правило iptables
« Ответ #7 : 15 Май 2017, 07:48:15 »
Если сервер исходящей почты работает на портах "25-й (и пару шифрующих", то не смогут.

Попробую опередить ещё десяток поверхностных вопросов и подвести Вас к более глобальным проблемам.
Защиты систем принято подразделять на две основных категории: "всё запрещено, кроме..." и "всё разрешено, кроме..."
Для защиты частных систем обычно используется первый, более параноидальный, способ защиты. Второй используют провайдеры, применяя запреты в исключительных случая (например, табу от Роскомнадзора)

Предлагаю Вам начать с этой задачи. Т.е. определиться с параноидальностью и дальше уже идти по этому пути.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Правило iptables
« Ответ #8 : 15 Май 2017, 07:54:01 »
Благодарю, fisher74!
Десяток поверхностных вопросов не будет.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Правило iptables
« Ответ #9 : 15 Май 2017, 07:56:16 »
Опередить - не запретить (дпа и нет у меня на то права ни морального, ни какого-либо другого).
Если будут - задавайте. Обязательно поможем.
Но только после попытки разобраться самостоятельно.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн hidot95

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Правило iptables
« Ответ #10 : 15 Май 2017, 20:58:00 »
Уважаемый fisher74!
Вопрос не по данной теме, а для образования.
Возможно ли через -p прописать разом все протоколы?
Читал, что есть вариант -p all, но не срабатывает.
Вопрос не критичный, но был бы благодарен за ответ.
Заранее благодарю!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: Правило iptables
« Ответ #11 : 15 Май 2017, 21:23:51 »
Нет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.156 секунд. Запросов: 24.