/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
iptables - INPUT regel
Fra : Peter


Dato : 08-06-02 09:45

Hej

Jeg har en stand-alone Linux firewall.

Hvis jeg SSH'er mig til den og forsøger at pinge eller FTP får den ikke
noget svar med mindre jeg accepter al INPUT trafik.

Hvordan laver man en regel, der siger, at al INPUT-trafik til denne maskine
accepteres når det er den selv der pinger eller lignende uden at åbne for
alt?

Jeg tvivler på det er noget med stateful at gøre når alt virker blot jeg
accepterer alt på input...

Håber jeg har forklaret mig tydeligt nok.

Hilsen Peter




 
 
Tonni Aagesen (08-06-2002)
Kommentar
Fra : Tonni Aagesen


Dato : 08-06-02 11:02

"Peter" <no_spam@no.where> skrev i en meddelelse
news:HujM8.16$TQ.544@news.get2net.dk...

> Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
maskine
> accepteres når det er den selv der pinger eller lignende uden at åbne for
> alt?

Prøv med:

iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

Hvis du har sat sshd til at lytte på en anden port end 22, skal du
selvfølgelig ændre det til tilsvarende i ovenstående.


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>



Peter (08-06-2002)
Kommentar
Fra : Peter


Dato : 08-06-02 11:56

"Tonni Aagesen" <use.my@signature.please> wrote in message
news:adskm6$spb$1@sunsite.dk...
> "Peter" <no_spam@no.where> skrev i en meddelelse
> news:HujM8.16$TQ.544@news.get2net.dk...
>
> > Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
> maskine
> > accepteres når det er den selv der pinger eller lignende uden at åbne
for
> > alt?
>
> Prøv med:
>
> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

Det goer desvaerre ingen forskel.
Mine input regler er som foelger:

iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Output = ACCEPT

Men det er nu ikke SSH der er problemet.
Problemet er naar man fysisk sidder paa maskinen (stand alone FW) og
forsoeger at pinge en adresse.
Der faar den intet svar med mindre jeg giver den en:
iptables -P INPUT ACCEPT

Jeg tror derfor det vil vaere noedvendigt at forklare FW at naar det er den
_selv_ der pinger osv skal den tillade det.

Hilsen Peter



Rasmus Bøg Hansen (08-06-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 08-06-02 12:57

Peter wrote:

>> > Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
>> maskine
>> > accepteres når det er den selv der pinger eller lignende uden at åbne
> for
>> > alt?

>> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

> Det goer desvaerre ingen forskel.
> Mine input regler er som foelger:

Prøv at indsætte:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

> iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Jeg ville sætte en --syn på her.

> Output = ACCEPT

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Beware of programmers who carry screwdrivers
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter (08-06-2002)
Kommentar
Fra : Peter


Dato : 08-06-02 13:58

> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Så virker det!

> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Den giver "Operation not permitted" :-/

> > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
> > iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>
> Jeg ville sætte en --syn på her.

Hvilken ekstra sikkerhed giver det?
Fik at vide det var ligemeget så er lidt nysgerrig

Hilsen Peter




Rasmus Bøg Hansen (08-06-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 08-06-02 16:19

Peter wrote:

>> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> Den giver "Operation not permitted" :-/

Meget sært, det virker fint på min. Er du sikker på, at du er root og at
den er skrevet korrekt af?

>> > iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>>
>> Jeg ville sætte en --syn på her.
>
> Hvilken ekstra sikkerhed giver det?
> Fik at vide det var ligemeget så er lidt nysgerrig

Du lader kun etablerede forbindelser og nye forbindelser - ikke SYN/FIN,
XMAS og NULL scans.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If a trainstation is the place where trains stop, what is a workstation?
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter (08-06-2002)
Kommentar
Fra : Peter


Dato : 08-06-02 20:04

"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:adt7a1$hu9$1@carlsberg.amagerkollegiet.dk...
> Peter wrote:
>
> >> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> >
> > Den giver "Operation not permitted" :-/
>
> Meget sært, det virker fint på min. Er du sikker på, at du er root og at
> den er skrevet korrekt af?

Jeps. Der er kun root på systemet og hvis den ikke var skrevet af korrekt
ville den melde en fejl ud.

Det er min DROP policy der fanger den og giver Operation not permitted...

Er din maskine da også stand alone?
Jeg kan egentligt heller ikke se, hvorfor den ikke bliver tilladt af din
regel.

Men om ikke andet er jeg kommet et stort skridt videre nu, hvor min INPUT
regel fungerer.
Der er vel heller ikke den store fare i at tillade OUTPUT da man jo skal
komme indefra for at kunne anvende den.

Hilsen Peter



Rasmus Bøg Hansen (08-06-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 08-06-02 20:15

Peter wrote:

>> >> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> >
>> > Den giver "Operation not permitted" :-/
>>
>> Meget sært, det virker fint på min. Er du sikker på, at du er root og at
>> den er skrevet korrekt af?
>
> Jeps. Der er kun root på systemet og hvis den ikke var skrevet af korrekt
> ville den melde en fejl ud.
>
> Det er min DROP policy der fanger den og giver Operation not permitted...

Øh, snakker vi trafik eller iptables-kommandoen? Du kan ikke få 'Operation
not permitted' af en iptables-kommando fra en DROP-policy svjv.

> Er din maskine da også stand alone?

Min egen er, ja. Jeg passer dog også en router/firewall. Ingen af dem giver
dette problem.

> Men om ikke andet er jeg kommet et stort skridt videre nu, hvor min INPUT
> regel fungerer.
> Der er vel heller ikke den store fare i at tillade OUTPUT da man jo skal
> komme indefra for at kunne anvende den.

Hvis du stoler på alle dine programmer ol. er det ikke det store problem -
men der findes jo trojanske heste ol...

Hvis du tillader al udgående trafik (som du tilsyneladende gør), er
ovenstående overflødig.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Man invented language to satisfy his deep need to complain.
-- Lily Tomlin
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter (08-06-2002)
Kommentar
Fra : Peter


Dato : 08-06-02 21:12

> > Det er min DROP policy der fanger den og giver Operation not
permitted...
>
> Øh, snakker vi trafik eller iptables-kommandoen? Du kan ikke få 'Operation
> not permitted' af en iptables-kommando fra en DROP-policy svjv.

Naar jeg pinger får jeg Operation not permitted.
Dette skyldes, at min OUTPUT POLICY er sat til DROP og ingen af mine OUTPUT
regler fanger ping-pakken inden.
Hvis den saettes til ACCEPT er der ingen problemer, men det er jo det vi
helst skulle undgaa.

> Hvis du stoler på alle dine programmer ol. er det ikke det store problem -
> men der findes jo trojanske heste ol...

Ah ja...

> Hvis du tillader al udgående trafik (som du tilsyneladende gør), er
> ovenstående overflødig.

Jeg ville nu helst have en DROP på OUTPUT og saa kun aabne naar det var
noedvendigt.

Hilsen Peter



Rasmus Bøg Hansen (08-06-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 08-06-02 21:28

Peter wrote:

>> > Det er min DROP policy der fanger den og giver Operation not
> permitted...

> Naar jeg pinger får jeg Operation not permitted.
> Dette skyldes, at min OUTPUT POLICY er sat til DROP og ingen af mine
> OUTPUT regler fanger ping-pakken inden.
> Hvis den saettes til ACCEPT er der ingen problemer, men det er jo det vi
> helst skulle undgaa.

Nååå, på den måde - så er jeg med...

OUTTCP="21 22 43 79 80 110 119 139 443 993 995 1863 2401 5190 6667 8080"
OUTUDP="53 123 137 138"
OUTICMP="echo-request echo-reply destination-unreachable time-exceeded
parameter-problem"
for port in $OUTTCP
do
/sbin/iptables -A OUTPUT -p tcp --dport $port --syn -j ACCEPT
done
for port in $OUTUDP
do
/sbin/iptables -A OUTPUT -p udp --dport $port -j ACCEPT
done
for icmp in $OUTICMP
do
/sbin/iptables -A OUTPUT -p icmp --icmp-type $icmp -j ACCEPT
done

Måske du ka' bruge det til noget?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I think the sum of intelligence on the internet is constant.
Only the number of users grows.
- Uwe Ohse in the monastery
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter (09-06-2002)
Kommentar
Fra : Peter


Dato : 09-06-02 09:31

"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:adtpcs$am$2@carlsberg.amagerkollegiet.dk...

> OUTTCP="21 22 43 79 80 110 119 139 443 993 995 1863 2401 5190 6667 8080"
> OUTUDP="53 123 137 138"
> OUTICMP="echo-request echo-reply destination-unreachable time-exceeded
> parameter-problem"
> for port in $OUTTCP
> do
> /sbin/iptables -A OUTPUT -p tcp --dport $port --syn -j ACCEPT
> done
> for port in $OUTUDP
> do
> /sbin/iptables -A OUTPUT -p udp --dport $port -j ACCEPT
> done
> for icmp in $OUTICMP
> do
> /sbin/iptables -A OUTPUT -p icmp --icmp-type $icmp -j ACCEPT
> done
>
> Måske du ka' bruge det til noget?

Ja for søren jeg kan da!
Den åbner det den skal uden problemer.

Jeg har ledt efter en måde at lave arrays i shell og det er jo bl.a. det du
viser der.

Takker!

Hilsen Peter



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408886
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste