iptables a port 80

[phobus]

Chcel by som si zostavit svoj vlastny firewall pomocou iptables ale hned pri vytvarani prveho pravidla som stroskotal  ...
Cital som tieto dva navody :
http://www.root.cz/clanky/vse-o-iptables-ip-cast/
http://www.root.cz/clanky/stavime-firewall-1/
Napisem so konzoly tieto riadky:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
potom
sudo iptables -I INPUT -p tcp -s 0/0 --dport 80 -d 192.168.1.104 -j ACCEPT a ked to spravym tak stale neprimam pakety na ten port co chcem povolit.
Som za zapojeny za routrom. Nemozem dalej povolovat porty ked neviem rozbehnut tento. DIK ZA RADY.

[Pavelp]

Je to na PC, kde jsou dve rozhrani? Ma smysl zakazovat retezec forward? Vypsal jste si tabulku prikazem
iptables -L?  Mate omezeno, na kterem rozhrani posloucha web server ? Na kterem je to stroji, na routeru, nebo na stanici?

[phobus]

Ja mam len jeden pc s eth0 zapojeny do routru a odtial do internetu. Vypis sudo iptables -L -n je :
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.104       tcp dpt:80

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Ip adresa routru je 192.168.1.0 a moja je pridelena routrom 192.168.1.104.         

[Pavelp]

Forward policy nastavit na accept, neni co kam forwardovat, neni proc co zahazovat a blokuje to forward mezi loopbackem a eth. Jak jste testoval, ze pakety na port 80 neprochazeji?

[phobus]

Ked nastavim to FORWARD na ACCEPT a to INPUT na DROP a dam tam to pravidlo sudo iptables -I INPUT -p tcp -s 0/0 --dport 80 -d 192.168.1.104 -j ACCEPT tak to stale nefunguje. A testujem to System >Administration>Network Tools a ked si tam dam pingnut moju adresu 192.168.1.104 tak ma nepingne a tak isto mi ani nenajde otvorene porty ked si dam PORT SCAN. Ale ked mam to INPUT na ACCEPT tak ma pingne a najde aj otvoreny port 80.

[Pavelp]

Ping nepingne, protoze mate zakazany veskery provoz, mimo vstupu na port tcp: 80. Ping tedy nemuze chodit, musel byste povolit provoz na protokolu icmp. Zkusil bych to pravidlo takto:
iptables -A INPUT -p tcp --dport 80 -J ACCEPT
Edit: Mozna jeste provoz na loopbacku
iptables -A INPUT -i lo -j ACCEPT

[nodrive]

Jestli je cílem jen funkční a jednoduché řešení, pak pěkný příklad je tady:
http://support.zcu.cz/index.php?title=Iptables&printable=yes.
Ale tím asi nevyhovím...

[DaedRuaN]

Nastavil by som toto:

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

aby mohol system komunikovat sam so sebou. Bez tychto dvoch pravidiel som mal rovnaky problem.

velmi pekne rozdelene priklady -> http://danieldegraaf.afraid.org/info/iptables/examples