форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Непонятка с цепочкой Input в IPTables"
Сообщение от Vanger13 (ok) on 23-Фев-05, 14:51  (MSK)
Привет. При помощи конфигуратора WEBMIN сделал резет правил iptables и как шаблон для новой конфигрурации выбрал Блокировать все входяшие соединения на внешнем интерфейсе. в итоге получил небольшой набор правил в цепочке input. действие по умолчанию - отбрасывать. первое из правил в цепочке - Принять если входящий интерфейс не eth0 (т.е. внешний). пока вроже всё логично, как я понял ни одно соединение с eth0 дальше этого правила проходить не должно. но я добавил после этого правила ещё одно, разрешающее принимать обращения к 53 порту, протоколу UDP от интерфейса eth0. заработало, DNS стал откликаться снаружи. т.е. для наглядности: 1. принять если интерфейс не eth0 2. принять если протокол UDP, порт 53, интерфейс eth0 почему так получилось? ведь первое правило должно было отшить обращение от eth0 и до второго это обращение не должно было дойти.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Непонятка с цепочкой Input в IPTables"
Сообщение от Alexey Morozov on 24-Фев-05, 01:09  (MSK)
все правильно. Ведь первое правило описывает все интерфейсы кроме eth0! В нем не говорится что делать именно с eth0! Пакет на 53 порт под первое правило не подошел и поэтому полетел ко второму правилу! Здесь все было отлично и он прошел. А дефолтное правило добавляется в конце.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 24-Фев-05, 07:46  (MSK)
	дефолтного правила нет в конце, просто стоит политика цепочки "отбрасывать". т.е. пакет всё равно пройдёт по всем правилам в цепочке?! тогда я не уловил смысле этого первого правла. какую функцию оно выполняет? ведь после него идут другие правила, стандартный набор а-ля пропускать пинги и DNS запросы. причём в них нет контроля за интерфейсом, откуда они пришли. выходит эти правила прекрасно сработают и для внешнего интерфейса, если такие запросы поступят.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Alexey Morozov on 24-Фев-05, 14:52  (MSK)
	>дефолтного правила нет в конце, просто стоит политика цепочки "отбрасывать". >т.е. пакет всё равно пройдёт по всем правилам в цепочке?! тогда я >не уловил смысле этого первого правла. какую функцию оно выполняет? ведь >после него идут другие правила, стандартный набор а-ля пропускать пинги и >DNS запросы. причём в них нет контроля за интерфейсом, откуда они >пришли. выходит эти правила прекрасно сработают и для внешнего интерфейса, если >такие запросы поступят. Политику можно представить как дефолтное правило стоящее в самом конце! Оно запрещает все что не определено в цепочках! Пакет идет по цепочке до первого правила под которое он попадает! Читай _KAV_ он все правильно написал!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Непонятка с цепочкой Input в IPTables"
Сообщение от Alexey Morozov on 24-Фев-05, 01:13  (MSK)
>Привет. При помощи конфигуратора WEBMIN сделал резет правил iptables и как шаблон и не пользуйся webmin-ом... на реальных роутерах кроме командной строчки ничего нет и не должно быть, тем более апачей с webmin-ом.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 24-Фев-05, 07:38  (MSK)
	>>Привет. При помощи конфигуратора WEBMIN сделал резет правил iptables и как шаблон > >и не пользуйся webmin-ом... на реальных роутерах кроме командной строчки ничего нет >и не должно быть, тем более апачей с webmin-ом. я и не буду им пользоваться. просто хочу сначало отладить цепочки, а потом перекинуть все правила на другую "живую" машину из "живой" сети :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 24-Фев-05, 10:43  (MSK)
	Принцип простой... пакет проходит правила, пока не встретит подходящего ему, после чего выполняется действие. в приведенной цепочке первое правило не определяло никаких действий с данным пакетом, вот поэтому он пошел дальше и обработался вторым. сли же правила переписать в виде 1. отбросить, если интерфейс eth0 (то же условие, но в другой форме) 2. принять если протокол UDP, порт 53, интерфейс eth0 то второе правило выполняться не будет
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 24-Фев-05, 16:12  (MSK)
	>Принцип простой... >пакет проходит правила, пока не встретит подходящего ему, после чего выполняется действие. > >в приведенной цепочке первое правило не определяло никаких действий с данным пакетом, >вот поэтому он пошел дальше и обработался вторым. >сли же правила переписать в виде >1. отбросить, если интерфейс eth0 (то же условие, но в другой форме) > >2. принять если протокол UDP, порт 53, интерфейс eth0 >то второе правило выполняться не будет Спасибо, разобрался. сегодня настроил вроде как надо, с публикацией внутренего SMTP сервера. натравил сканер и очень удивился, помимо 25 порта у меня определяется и 110 порт. откуда?! в цепочках input и forward таблицы filter жёстко указан только 25 порт, всё остальное отбрасывать. причём даже если telnet-ом зацепиться на 110 порт, то явно есть какое-то соединение, которое в итоге отваливается по таймауту. не подскажите откуда ноги растут?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 24-Фев-05, 16:41  (MSK)
	Правила в студию... К тому же - первым правилом стояло "принимать пакеты с интерфейса..." не с этой сетки часом сканилось? А даже если pop3 не взыеден, но прописан в inetd/xinetd, то оные открывают соединение и пытаются вызвать pop3
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (??) on 24-Фев-05, 18:46  (MSK)
	>Правила в студию... >К тому же - первым правилом стояло "принимать пакеты с интерфейса..." не >с этой сетки часом сканилось? >А даже если pop3 не взыеден, но прописан в inetd/xinetd, то оные >открывают соединение и пытаются вызвать pop3 вот правила с коментариями. это из forward/filters Принимать UDP, с eth1 и dport 53 ;выпускаем DNS запрос Принимать UDP, с eth0, состояние соединения ESTABLISHED ;впускаем ответ на него Принимать TCP, saddr 192.168.1.20 dport 25 ; выпускаем SMTP, только с почтовика Принимать TCP, с eth0, dport 25; впускаем SMTP к почтовику Принимать TCP, sport 25 ; ответы от почтовика наружу и ответы снаружи ему Отбрасывать Если входящий интерфейс eth0 в input/filters Принимать интерфейс lo Принимать UDP, c eth0 и состояние соединения ESTABLISHED ;впускаю DNS ответы Отбрасывать Если входящий интерфейс eth0 посмотрел netstat, 110 порт никто не слушает, sendmail убит давно.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 10:14  (MSK)
	>>Правила в студию... Это из вебмина? не проще ли дать iptables -L -v ? тогда все видно будет И- какое имеет отношение сендмыл (равно как и любой другой МТА) к 110 порту?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 25-Фев-05, 11:06  (MSK)
	>>>Правила в студию... >Это из вебмина? >не проще ли дать iptables -L -v ? тогда все видно будет > >И- какое имеет отношение сендмыл (равно как и любой другой МТА) к >110 порту? извольте: Chain INPUT (policy DROP) target     prot opt in     out     source               destination         ACCEPT     all  --  lo     any     anywhere             anywhere             ACCEPT     udp  --  eth0   any     anywhere             anywhere            udp state ESTABLISHED DROP       all  --  eth0   any     anywhere             anywhere             Chain FORWARD (policy DROP) target     prot opt in     out     source               destination         ACCEPT     udp  --  eth1   any     anywhere             anywhere            udp dpt:domain ACCEPT     udp  --  eth0   any     anywhere             anywhere            udp state ESTABLISHED ACCEPT     tcp  --  any    any     192.168.1.20         anywhere            tcp dpt:smtp ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:smtp ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp spt:smtp DROP       all  --  eth0   any     anywhere             anywhere             Chain OUTPUT (policy ACCEPT) target     prot opt in     out     source               destination         а по поводу сендмыла, я уже просто не знаю на что думать :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 13:37  (MSK)
	Пока что ничего не видно... 1.20 - это кто? > >а по поводу сендмыла, я уже просто не знаю на что думать >:) ну, на 110-м висеть могут поп-3 сервера или inetd. Больше некому. По поводу скана - при политике drop любое соединение телнетом на пустое место будет долго висеть. Чтоб отваливалось быстро, требуется reject. И - какой сканер и что он пишет? тут тоже есть свои тонкости..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 25-Фев-05, 13:49  (MSK)
	>Пока что ничего не видно... 1.20 - это кто? >> >>а по поводу сендмыла, я уже просто не знаю на что думать >>:) >ну, на 110-м висеть могут поп-3 сервера или inetd. Больше некому. >По поводу скана - при политике drop любое соединение телнетом на пустое >место будет долго висеть. Чтоб отваливалось быстро, требуется reject. >И - какой сканер и что он пишет? тут тоже есть свои >тонкости.. 1.20 это почтовый сервер во внутреней сети, который нужно опубликовать наружу. по поводу 110 порта. да, телнет висит долго, но есть разница. вот например при попытке обратиться на любой другой порт получаю вот это: c:\>telnet 111.222.333.444 80 Connecting To 111.222.333.444... ; тут он действительно долго висит Could not open a connection to host on port 80 : Connect failed а при обращении на 110 сразу же открывается ссесия, экран очишается и через промежуток времени получаю вот это Connection to host lost. c:\> сканер xspider. может есть ещё како-то способ, помимо netstat? проверить кто слушает этот порт?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 17:08  (MSK)
	Включить логирование пакетов или tcpdump и посмотреть, что происходит. А xspider иногда довольно странные вещи выдает... а в данном случае он скорее всего считает, что если что-то открывалось по 110 порту, но не определилось, то это скорее всего скверно настроеный pop3.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 24-Фев-05, 20:02  (MSK)
	и ещё дайте совет. насколько правильно и безопасно создать правила выпускающие трафик по определёным портам, а на приём поставить одно правило принимать пакеты со статусом Established? есть лы смысл контролировать ответы?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 10:20  (MSK)
	>и ещё дайте совет. насколько правильно и безопасно создать правила выпускающие трафик >по определёным портам, а на приём поставить одно правило принимать пакеты >со статусом Established? есть лы смысл контролировать ответы? А у меня всегда ставится политика OUTPUT ACCEPT... Только принимать ESTABLISHED,RELATED. Впрочем, здесь на сайте есть Iptables Tutorial Андерссона, рекомендую прочесть
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 25-Фев-05, 10:42  (MSK)
	>А у меня всегда ставится политика OUTPUT ACCEPT... >Только принимать ESTABLISHED,RELATED. >Впрочем, здесь на сайте есть Iptables Tutorial Андерссона, рекомендую прочесть прочитал. из раздела "Глава 4. Механизм определения состояний" следует что только ответ на выпущеный запрос может иметь состояние ESTABLISHED. RELATED не рассматривается, он мне не нужен. хотел уточнить так ли это на самом деле. ну параноик я :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 13:39  (MSK)
	Ну, при работе ftp зачастую нужно related... много еще где - я ж не знаю задач. А правила таки какие-то странноватые пишутся.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 25-Фев-05, 17:14  (MSK)
	>Ну, при работе ftp зачастую нужно related... много еще где - я >ж не знаю задач. >А правила таки какие-то странноватые пишутся. значит так, снёс всё, переставил сисетму вообще, очистил все цепочки в ноль, поставил везде политики DROP. унадайте что получилось? :) 25 и 110 потры откликаюся, но никем не слушаются. баг или фича? если что у меня Fedora 3 с обновлениями из инета.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 25-Фев-05, 18:28  (MSK)
	Чудеса, однако... ей-ей... ну, тогда tcpdump - и вперед... Я с красношапочным никогда не работал - посему не знаю, что они могли там начудить. Но такого быть не должно. Может, для проверки отключить forward ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Непонятка с цепочкой Input в IPTables"
	Сообщение от Vanger13 (ok) on 28-Фев-05, 05:55  (MSK)
	>Чудеса, однако... ей-ей... >ну, тогда tcpdump - и вперед... >Я с красношапочным никогда не работал - посему не знаю, что они >могли там начудить. Но такого быть не должно. Может, для проверки >отключить forward ? В общем нашёл я причину, и она далеко не из области iptables. эта "причина" стоит почти на каждом компьюторе и зовётся она антивирус. он же через себя и почту пропускает, следовательно перехватывает 25 и 110 порт. Как результат - два дня будания с ветряными мельницами. зато неоценимый опыт :) всем спасибо за внимание.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Непонятка с цепочкой Input в IPTables"
	Сообщение от _KAV_ (ok) on 01-Мрт-05, 11:19  (MSK)
	>В общем нашёл я причину, и она далеко не из области iptables. >эта "причина" стоит почти на каждом компьюторе и зовётся она антивирус. >он же через себя и почту пропускает, следовательно перехватывает 25 и >110 порт. Как результат - два дня будания с ветряными мельницами. >зато неоценимый опыт :) всем спасибо за внимание. Уууу... Действительно тяжко...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.