Autor Téma: dělám chybu v iptables (Přečteno 5315 krát)

donjirka · « **Odpověď #25 kdy:** 02 Prosince 2013, 16:23:30 »

Ahoj, to už jsem na svém PC zkoušel také, ale jak z toho ven?

Petr Merlin Vaněček · « **Odpověď #26 kdy:** 02 Prosince 2013, 16:29:15 »

Jo, tak na tohle moje znalosti nestačí, fakt netuším jak se k tomuhle chovat

NTZ? Co Ty na to?

donjirka · « **Odpověď #27 kdy:** 02 Prosince 2013, 17:13:56 »

Citace: Petr Merlin Vaněček 02 Prosince 2013, 16:29:15

Jo, tak na tohle moje znalosti nestačí, fakt netuším jak se k tomuhle chovat
NTZ? Co Ty na to?

Jednoho jsem vyřídil , tak kdo jde další? Ne, ...dělám si srandu děkuji za snahu. Máte někdo nějaký nápad?

ntz_reloaded · « **Odpověď #28 kdy:** 02 Prosince 2013, 17:51:20 »

kdyz mas iptables prazdne a funguje to, tak proste rucne jedno po druhem nahazuj pravidla (vsechny politiky mas ACCEPT, posledni praavidlo v INPUTU drop):

Kód: [Vybrat]

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

tohle musi fungovat

Petr Merlin Vaněček · « **Odpověď #29 kdy:** 02 Prosince 2013, 18:17:32 »

@ntz:

Já se bojím, že celej problém bude v tomto:

Kód: [Vybrat]

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT

Tušil bych, že ta brána, co tam je (sice nedefinovaná, ale bude) "krade" příznaky ...

ntz_reloaded · « **Odpověď #30 kdy:** 02 Prosince 2013, 18:21:26 »

Citace: Petr Merlin Vaněček 02 Prosince 2013, 18:17:32

@ntz:

Já se bojím, že celej problém bude v tomto:
Kód: [Vybrat]
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT
Tušil bych, že ta brána, co tam je (sice nedefinovaná, ale bude) "krade" příznaky ...

wtf ? rozumim tomu az po "Tušil bych, "

kdo krade ? co krade ? proc by to delala ? to jsem nikdy v praxi nevidel .. jak muze krast brana priznaky ? o.O

jmp · « **Odpověď #31 kdy:** 02 Prosince 2013, 18:42:41 »

iptables nerozumím, ale imho je pro IPv4
na device je IPv6 a na subdevice je sice IPv4, ale ptp
když to jde tím tunelem, tak je to bráno a zpracováno stejně jako běžný provoz, který by šel normálně přímo?

Petr Merlin Vaněček · « **Odpověď #32 kdy:** 02 Prosince 2013, 19:09:38 »

Citace: jmp 02 Prosince 2013, 18:42:41

iptables nerozumím, ale imho je pro IPv4
na device je IPv6 a na subdevice je sice IPv4, ale ptp
když to jde tím tunelem, tak je to bráno a zpracováno stejně jako běžný provoz, který by šel normálně přímo?

To by sice mělo, ale kde je brána sítě? Jestliže je definovaná IP, tak musí být v nějakém subnetu a ten má bránu, ale ta není definovaná (ona asi bude, ale na tom hostujícím stroji). Je to celé jakési divné ...

Ale tím neříkám, že to je špatně, jen ... jsem si myslel, že o IP něco vím ...

PS: IPv6 ignoruji, protože používá iptables a ne ip6tables ...

donjirka · « **Odpověď #33 kdy:** 02 Prosince 2013, 19:16:34 »

Ahoj, to s politikou INPUT ACCEPT už jsem zkoušel ... vede to k stejnému výsledku jako u -p DROP. Přidám poslední pravidlo iptables -A INPUT -j DROP v tu chvíli je to v ...

Petr Merlin Vaněček · « **Odpověď #34 kdy:** 02 Prosince 2013, 19:22:34 »

Citace: ntz_reloaded 02 Prosince 2013, 18:21:26

kdo krade ? co krade ? proc by to delala ? to jsem nikdy v praxi nevidel .. jak muze krast brana priznaky ? o.O

Ani já, proto taky na to vejrám jak sova z nudlí

Ale podívej na tu routetable

Kód: [Vybrat]

root@vps:~# ip r
default dev venet0  scope link

Jestli tomu dobře chápu, pak cokoliv, co chce odeslat prostě plácne na rozhraní a naopak pakety nepřijímá z GW, ale z rozhraní. Na druhé straně si to cosi jaksi zpracuje, jenže nevím ani co ani jak. A vůbec bych se nedivil, kdyby všechny spojení měly stav NEW ...

jmp · « **Odpověď #35 kdy:** 02 Prosince 2013, 19:26:44 »

s maskou 255.255.255.255 na tom subdevice to bude znamenat komunikaci skrz tunel a tam na druhé straně patrně bude to nastavení sítě které tu marně hledáte...

Petr Merlin Vaněček · « **Odpověď #36 kdy:** 02 Prosince 2013, 19:50:27 »

Citace: jmp 02 Prosince 2013, 19:26:44

s maskou 255.255.255.255 na tom subdevice to bude znamenat komunikaci skrz tunel a tam na druhé straně patrně bude to nastavení sítě které tu marně hledáte...

Tak jest, ale to nevysvětluje to, proč chybí na paketech příznak RELATED,ESTABSLISHED, protože jinak nevím, jak si toto chování vysvětlit. A také to nevede ani k tomu, jak v takovém případě vybudovat stavový firewall ...

donjirka · « **Odpověď #37 kdy:** 03 Prosince 2013, 14:22:32 »

Ahoj, ještě zkusím napsat na podporu vpsfree ... uvidíme jak se k tomu postaví a dám vědět.

donjirka · « **Odpověď #38 kdy:** 03 Prosince 2013, 14:52:46 »

Tak sem na to přišel a jak jsem si celou dobu myslel, byla to vlastní blbost. U vpsfree je v admin možnost vis příloha, měl jsem v iptables disable

(nevím na co, ale je tam). Omlouvám se za problémy. Prosím o označení vyřešeno.

[příloha smazaná administrátorem]

Petr Merlin Vaněček · « **Odpověď #39 kdy:** 04 Prosince 2013, 11:01:07 »

No to bude právě na to, aby byly pakety správně označkované.
Super, hlavně, že to jede.

Autor Téma: dělám chybu v iptables (Přečteno 5315 krát)

donjirka

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables

donjirka

Re:dělám chybu v iptables

ntz_reloaded

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables

ntz_reloaded

Re:dělám chybu v iptables

jmp

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables

donjirka

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables

jmp

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables

donjirka

Re:dělám chybu v iptables

donjirka

Re:dělám chybu v iptables

Petr Merlin Vaněček

Re:dělám chybu v iptables