ip tables konfiguracja

[selekta]

Witam, tak ostatnio wgryzam się trochę w linuxa i natrafiłem na kolejny problem - chcę skonfigurować zaporę, na sieci znalazłem wątek jednego z tutejszych użytkowników -coś takiego:

Albo możesz skorzystać sobie z takiego skryptu dla IPTables, który ustawi reguły na stałe i nie będziesz musiał nic więcej robić. Jeśli wolisz wyklikać reguły, to zainstaluj sobie Gufw, jeśli wolisz gotowca to uruchom terminal i wklej w poniższe polecenia
Kod: Zaznacz cały
    sudo cat /etc/init.d/firewall << EOF
    #!/bin/bash

    iptables -F

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -o lo -j ACCEPT

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    EOF

Powyższe skopiuj i wklej jako całość, potem
Kod: Zaznacz cały
    sudo chmod +x /etc/init.d/firewall
Następnie
Kod: Zaznacz cały
    sudo update-rc.d firewall defaults 90
i na koniec
Kod: Zaznacz cały
    sudo /etc/init.d/firewall
Reguły blokują ruch przychodzący, a zezwalają na połączenia nawiązane, tzn. Ty możesz łączyć się z internetem ale internet nie może łączyć się z Tobą, mam nadzieję, że rozumiesz o co chodzi

Bardzo fajne ale ja chciałbym dowiedzieć się więcej :
- np skype - chciałbym udostępnić mu ruch dwukierunkowy - jak sprawdzić jakich portów używa skype, jakim poleceniem odblokować regułę w iptables?

[chmooreck]

do skype'a to wystarczy. To ty się łączysz do serwera (iptables -A OUTPUT -m state --state NEW -j ACCEPT), a potem operujecie na zestawionym połączeniu (iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT i iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT )

[roobal]

Tak, jak napisałem w cytowanym poście, ruch od Ciebie wychodzi, a ruch przychodzący jest blokowany w całości. Tak, jak pisał chmooreck, Skype się łączy do serwera, a nie serwer do Skype ale jeśli chcesz dodać port dla Skype dla ruchu przychodzącego, dodajesz mniej więcej taką regułę (nie wiem na jakim porcie działa Skype, a nie mam czasu teraz tego sprawdzać)

Kod: [Zaznacz]

iptables -I INPUT -p tcp --dport port:skype -j ACCEPT

i jeśli trzeba, to dodaj te samą regułę dla protokołu UDP, powyższa jest dla protokołu TCP.

Pozdrawiam!

[selekta]

czyli zamiast tcp -UPD ?

a jak wygląda reszta programów jeżeli chodzi o dodawanie reguł - trzeba sprawdzić z którego portu korzysta program(jeżeli tak to jak to zrobić)? czy po prostu  jak wyżej napisałeś podaję nazwę programu (w tym przypadku zamiast skype inna nazwa )?
oraz jak sprawdzić w iptables jakiś raport co jest blokowane co przepuszcza itp?

trzeba sprawdzić z którego portu korzysta program(jeżeli tak to jak to zrobić)?

Kod: [Zaznacz]

netstat -p | grep skype

Oczywiście dany program musi być włączony.

oraz jak sprawdzić w iptables jakiś raport co jest blokowane co przepuszcza itp?

Reguły iptables wyświetlisz poleceniem:

Kod: [Zaznacz]

iptables -L

I w tym momencie trzeba wiedzieć, jakie usługi i programy korzystają z jakich protokołów oraz portów => netstat i/lub/oraz Google.

[selekta]

ok to już coś, dzięki za info będę sprawdzał

[roobal]

Pytanie tylko, po co chcesz dodawać reguły dla każdego programu z osobna? Moim zdaniem, to nie ma kompletnie sensu. Według reguł, które podałem w cytowanym poście, ruch przychodzący jest dozwolony ale tylko wtedy kiedy Ty nawiążesz połączenie. Działa to na takiej zasadzie, dowolny pakiet przychodzący z internetu nie ma wstępu ale gdy Ty nawiązujesz połączenie, pakiet sieciowy z twojego komputera wychodzi do internetu i po kilku milisekundach do Ciebie powraca i te powracające pakiety mają już pełny dostęp do twojego komputera, więc nie potrzeba dodawać osobnych reguł.

Pozdrawiam!

[selekta]

Ok rozumiem
Ja po prostu chciałem wiedzieć trochę więcej - jak w razie czego coś dodać , ale dzięki za info, generalnie ten twój skrypt to kawał dobrej roboty!

[selekta]

cat: /etc/init.d/firewall: Nie ma takiego pliku ani katalogu


a co jeżeli przy pierwszej czynności mam ww. informację ?

[roobal]

Masz te reguły zapisane w ogóle w skrypcie? Czy wklepywałeś je ręcznie linijka po linijce?

Pozdrawiam!

[selekta]

mam je zapisane w skrypcie
lepiej będzie wklepać ręcznie? (tzn. zadziała)

[roobal]

To nie ma znaczenia, tylko ze co restart musialbys klepac reguly na nowo. W takim razie skrypt masz w innej lokalizacji, niz /etc/init.d/.

Pozdrawiam!


---- Ten wątek został podzielony ----
Wszystkie oddzielone posty znajdują się tutaj.
(Podziału dokonał użytkownik roobal)


---- Ten wątek został podzielony ----
Wszystkie oddzielone posty znajdują się tutaj.
(Podziału dokonał użytkownik roobal)