forum.opennet.ru - "TFTP" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"TFTP"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"TFTP"	+/–
Сообщение от pavlinux (ok) on 24-Июл-11, 20:52
То ли лыжи не едут, то ли я еб...ый... Нужна загрузка по tftp только по интерфейсу eth2 Политика на всё, кроме OUTPUT, DROP -P INPUT DROP -P OUTPUT ALLOW -P FORWARD DROP Разрешаю обращаться к UDP 67 и 69, dhcp и tftp соответственно. # iptables -A INPUT -i eth2 -p udp -m multiport --destination-ports 67,69 -j ACCEPT ни работает iptables -A INPUT -i eth2 -p udp -j ACCEPT работат :)
Ответить \| Правка \| Cообщить модератору

Оглавление

TFTP, anonymous, 23:17 , 24-Июл-11, (1)

TFTP, pavlinux, 04:04 , 25-Июл-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "TFTP" +/–

Сообщение от anonymous (??) on 24-Июл-11, 23:17

>[оверквотинг удален]
> -P INPUT DROP
> -P OUTPUT ALLOW
> -P FORWARD DROP
> Разрешаю обращаться к UDP 67 и 69, dhcp и tftp соответственно.
> # iptables -A INPUT -i eth2 -p udp -m multiport --destination-ports 67,69
> -j ACCEPT
> ни работает
> iptables -A INPUT -i eth2 -p udp -j ACCEPT
> работат
> :)
-P OUTPUT ACCEPT наверное? А как насчет -m conntrack --ctstate ESTABLISHED,RELATED? А что говорит tcpdump -i eth2 -nn udp? Хотелось бы увидеть iptables-save или iptables -L INPUT -v -n так же, т.к. порты верно указаны, возможно, там есть запрещающее правило до разрешающего...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "TFTP" +/–

Сообщение от pavlinux (ok) on 25-Июл-11, 04:04

> А как насчет -m conntrack --ctstate ESTABLISHED,RELATED?
Ну я так и думал - лыжи не едут. :)
Сделал савсем красива
$IPT -A INPUT -i eth2 -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT;
$IPT -A INPUT -i eth2 -p udp --source-port 68 --destination-port 67 -s 0.0.0.0 -d 255.255.255.255 -j ACCEPT;
$IPT -A INPUT -i eth2 -p udp -m multiport --destination-ports 67,69 -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT;
Забавно себя ведут pxelinux + tftp-hpa - начальная стадия рукопожатия у них действительно по 69 порту.
Далее идет TFTP Request - запрос файла pxelinux.0, из параметров DHCP-сервера, но уже на другой порт, случайный.
Естественно другие порты у меня забаненны и PXE висит в таймауте периодически запрашивая файл на том случайном порту.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "TFTP"	+/–
Сообщение от anonymous (??) on 24-Июл-11, 23:17
>[оверквотинг удален] > -P INPUT DROP > -P OUTPUT ALLOW > -P FORWARD DROP > Разрешаю обращаться к UDP 67 и 69, dhcp и tftp соответственно. > # iptables -A INPUT -i eth2 -p udp -m multiport --destination-ports 67,69 > -j ACCEPT > ни работает > iptables -A INPUT -i eth2 -p udp -j ACCEPT > работат > :) -P OUTPUT ACCEPT наверное? А как насчет -m conntrack --ctstate ESTABLISHED,RELATED? А что говорит tcpdump -i eth2 -nn udp? Хотелось бы увидеть iptables-save или iptables -L INPUT -v -n так же, т.к. порты верно указаны, возможно, там есть запрещающее правило до разрешающего...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "TFTP"	+/–
	Сообщение от pavlinux (ok) on 25-Июл-11, 04:04
	> А как насчет -m conntrack --ctstate ESTABLISHED,RELATED? Ну я так и думал - лыжи не едут. :) Сделал савсем красива $IPT -A INPUT -i eth2 -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; $IPT -A INPUT -i eth2 -p udp --source-port 68 --destination-port 67 -s 0.0.0.0 -d 255.255.255.255 -j ACCEPT; $IPT -A INPUT -i eth2 -p udp -m multiport --destination-ports 67,69 -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT; Забавно себя ведут pxelinux + tftp-hpa - начальная стадия рукопожатия у них действительно по 69 порту. Далее идет TFTP Request - запрос файла pxelinux.0, из параметров DHCP-сервера, но уже на другой порт, случайный. Естественно другие порты у меня забаненны и PXE висит в таймауте периодически запрашивая файл на том случайном порту.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору