iptables router mogul

Linux-haladó

Sziasztok,
Lehetseges, hogy nagyon amator a kerdes. Most ismerkedem a tuzfalakkal, es be is allitottam magamnak egyet ami minden csomagot blokkol, csak olyan kommunikacio lehet, amit en engedelyezek. A szerver benn van egy router mogott, es az a problema hogy csak belso halozatbol erem el a szerverszolgaltatasokat /http, ssh/, amig a klienssel router mogott vagyok, abban a pillanatban, ha "kintrol szeretnek csatlakozni" a keresek el- time out olnak. A router en a port forward be van allitva tcp es udp portra egyarant. Rosszul hatarozom meg a rule okat?

Tuzfal
---
# Generated by iptables-save v1.4.21 on Fri Jan 29 18:11:32 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOGGING - [0:0]
-A INPUT -p tcp -m tcp --dport 8531 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

-A INPUT -j LOGGING
-A OUTPUT -p tcp -m tcp --sport 8531 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: "
-A LOGGING -j DROP
COMMIT
# Completed on Fri Jan 29 18:11:32 2016

---

iptables -L kimenete
---
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:8531
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT tcp -- anywhere anywhere tcp dpt:http state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,ESTABLISHED
LOGGING all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:http state ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:https state ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:8531 state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain ctstate NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain ctstate NEW,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:http

Chain LOGGING (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 2/min burst 5 LOG level warning prefix "IPTables-Dropped: "
DROP all -- anywhere anywhere

---

  • 1691 megtekintés

( secretx v | 2016. 02. 16., k – 17:56 )

Tcpdumppal nézted? :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( roy_b | 2016. 02. 17., sze – 07:28 )

Koszonom a valaszt.
A szamitogep elott, amin a tuzfal fut, egy TP-LINK router van.

( ncc1701 | 2016. 02. 17., sze – 19:06 )

Próbáld meg átmenetileg a linuxon kikapcsolni a tűzfalat, és úgy megnézni kívülről.

( zeller | 2016. 02. 18., cs – 10:22 )

A rendszernaplóban ott van, hogy mit dobott el, azt kellene kireszelned. Én mondjuk a logolást ilyen környezetben ennyivel szoktam elintézni (az input utolsó két sora):

-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG
-A INPUT -i eth0 -m comment --comment "eth0 default drop" -j DROP