Firewall iptables [vyřešeno]

[On]

používám firewall ufw, ale učím se pracovat přímo s iptables, pročetl jsem toho myslím docela dost, ale nějak mi nejde rozpohybovat www..pokud začnu výchozí politikou pro INPUT vše zahodit,tzn:iptables -P INPUT DROP a pak postupně zadávat pravidla v síti, tak mi vše běží..jen mi pořád nefunguje www. Použil jsem: iptables -A INPUT -p tcp --dport 80 -j ACCEPT. Našel jsem i opačnou radu, výchozí politika zůstane jak je, tzn, vše příchozí bude povolené, pak se zadají nějaké pravidla a jako poslední pravidlo: iptables -A INPUT -j DROP. Před ním jsem samozřejmě vložil opět řádek pro povolení portu 80 (www), jenže net ne a ne fungovat. Kde bude chyba, když nepočítám sebe? :-) 

[8472]

hm, tiez som na tom tak trochu ako ty, ze mi prestalo chutit UFW , a zacal som sa vrtat tiez rovno v iptables.
sice som si web nerozbehaval, no namiesto toho som si k sebe otvaral SSH-cko , a funguje v pohode, pritom pravidlo som pouzil rovnake ako mas ty az na cislo portu:

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 22 -j ACCEPTjedine co ti este mozem ukazat je to co sa mi spusta pred zavedenim tohto pravidla:

Kód: [Vybrat]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -s 127.0.0.1 -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


[DuckD]

Při sledování provozu používej příkaz který ti vyhledá místa, kde se zahazují (ztrácí) pakety:

Kód: [Vybrat]

watch iptables -vLPoté můžeš zkusit vytvořit provoz na port 80, ukáže se ti kde se pakety ztrácí (dropped).
Nezapomínej na to, že to není jenom povolit příchozí port 80, musíš mu také povolit odesílat požadavky...
Na tvůj dotaz nelze přesně odpovědět. Zkus lépe a jednoduše popsat co děláš a jak to děláš.

[On]

Jéé, už to funguje i s tou výchozí politikou, kdy vše příchozí je zahozené, použil jsem ten příkaz, co poslal nick: 8472 - iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT. Viděl jsem tento příkaz už někde na netu, ale nevěděl jsem co přesně dělá, tak jsem to nezkoušel...co to znamená?

výpis je:

Kód: [Vybrat]

ladik@ladik:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ladik@ladik:~$
 

edit: jinak ten příkaz od DuckD: watch iptables -vL, velmi dobré, díkec

[8472]

Jéé, už to funguje i s tou výchozí politikou, kdy vše příchozí je zahozené, použil jsem ten příkaz, co poslal nick: 8472 - iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT. Viděl jsem tento příkaz už někde na netu, ale nevěděl jsem co přesně dělá, tak jsem to nezkoušel...co to znamená?

výpis je:

Kód: [Vybrat]

ladik@ladik:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ladik@ladik:~$
 

edit: jinak ten příkaz od DuckD: watch iptables -vL, velmi dobré, díkec

povoli pakety, ktore su pribuzne alebo patria do uz nadviazaneho spojenia

edit: jinak ten příkaz od DuckD: watch iptables -vL, velmi dobré, díkec

JJ, thx, toto sa zide

[On]

Pokud vycházím z toho, že má být vše DROP = zahozeno, pak ještě k žádnému spojení nedošlo..jak pozná, že již navázané spojení je zrovna www...? co všechno tím povolí..?

[8472]

Pokud vycházím z toho, že má být vše DROP = zahozeno, pak ještě k žádnému spojení nedošlo..jak pozná, že již navázané spojení je zrovna www...? co všechno tím povolí..?

nooo, tak to uz neviem, tak daleko som sa zatial nedostal, ale zaujimava otazka

[On]

Ještě bych měl jeden dotaz ohledně iptables...po restartu se všechna pravidla smažou, jak to udělat, abych nemusel po každém restartu nastavovat vše znovu? Udělal jsem si skript s příkazy, které jsou nutné k celkovému nastavení iptables a spouštím ho Cronem hned po restartu..funguje trochu jinak než jsem čekal :)po restartu se po přihlášení nic neděje..pozadí už nenaskočí, pomocí CTRL+F1 jsem se nalogoval do záchraného režimu, kde jsem firewallu opět vše povolil a dobré, do systému jsem se dostal, ale pravidla iptables jsem musel opět spustit manuálně. Není jednodušší nějaký příkaz na ukládání těchto pravidel?

[8472]

podla toho co som sa docital tak aby to boli pravidla zavedene po starte OS treba to slahnut do /etc/rc.local , ale bacha, "exit 0" ktory tam uz je musi byt v tomto subore vzdy na konci, cize vsetko co chces takto startovat prdni pred to.

[On]

A nebude to mít ten samý účinek, jako když jsem to zadal do Cronu? Cron mi můj skript spustil, pravidla firewallu hned po restartu zavedl, jenže po zadání přihlašovacích údajů se mi to dál nedostalo...jakoby firewall bránil i mně pokud se ale do systému dostanu (bez firewallu) a zapnu až pak, pak vše běží...ale zkusím ten skript hodit do toho rc.local

edit: no, je to bohužel tak..to samé. Po přihlášení jen pozadí, vlevo nahoře šedý rámeček, kde by bodl nějaký text, ale je bez textu..a dál se nedostane. Každopádně jsem zase o něco chytřejší, vše, co je ve složce /etc/rc.local se spouští zároveň se systémem, dobrá věc

[ufaak]

zkus sem napsat ten tvuj skript, pak mozna budeme chytrejsi

[On]

no, snad nebudu pro smích Jsou to jen příkazy, které se mají zavést do iptables. Jestli ještě pomůže, vlastník je root, práva 755.

Kód: [Vybrat]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -s katka -p tcp --dport 22 -j ACCEPT
 

[DuckD]

Pokud vycházím z toho, že má být vše DROP = zahozeno, pak ještě k žádnému spojení nedošlo..jak pozná, že již navázané spojení je zrovna www...? co všechno tím povolí..?

Došlo k navázání spojení, poslal jsi přeci požadavek na nějakou stránku.
Tvým požadavkem na stránku si stavový firewall uložil záznam do tabulky.
A když ti webový server odpoví, stavový firewall už bude vědět že je navázané spojení.
Je to popsané jednoduše, ale nějak tak to přibližně je.

Mrkni na to jak se staví firewall: http://forum.ubuntu.cz/index.php/topic,14901.0.html
http://www.owebu.cz/linux/vypis.php?clanek=882
Tady je taky zajímavej iptejbl: http://forum.ubuntu.cz/index.php/topic,3249.msg21863.html#msg21863

[On]

hmmm, výborné články, díkec

[ufaak]

no, snad nebudu pro smích Jsou to jen příkazy, které se mají zavést do iptables. Jestli ještě pomůže, vlastník je root, práva 755.

Kód: [Vybrat]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -s katka -p tcp --dport 22 -j ACCEPT
 

Nejsem programator, ale nemel by ten skript byt nejak ukonceny?

[On]

No, nevím, jestli se teda tomuhle říká "skript", je to jen snůžka příkazů, které má systém provést po nastaveném úkonu, v mém případě po najetí do systému..příkazy vykonal, firewall spustil..jenže nechce se mi to dostat do systému, nemyslím, že by to nějaké ukončení řešilo..spíš nějaké další pravidlo...jenže já nevím, přes co mě to nechce pustit = na čem to končí

[On]

Ještě dotaz, podle návodu jsem si nastavil, aby se mi zaznamenávaly zahozené pakety, jenže...nikde v návodu jsem už nenašel, kde ty výpisy vlastně hledat, poradí někdo?

příkaz na logování:

iptables -A INPUT -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "zapis: " --log-level 6


Jinak pokud by někdo věděl ohledně toho, proč mi se spuštěným fw nenaběhne systém, byl bych též rád, díky

[DuckD]

Co trochu iniciativy? Třeba použít vyhledávání?
iptables + log
/var/log/messages

[On]

aha, tak takhle to funguje...já doufal, že mi to vytvoří zvlášť ten soubor "zapis", ten jsem hledal, pač v messages je miliarda jiných věcí, tak je to takové nepřehledné...ono to asi nějak zvlášť do souboru zapsat jde, jen jsem té stránce, kde o tom něco bylo, nevěnoval tolik pozornosti...tak se omlouvám