Van a következő iptables kódom, és az lenne a probléma, hogy bad argumentnék ismeri fel az ESTABLISHED részt. Mi lehet a probléma? Iptables noob vagyok szóval bármilyen ötletet szívesen várok.
#!/bin/bash
iptables -F
#Incoming connections
#Block incoming Communications
iptables -P INPUT DROP
#Incoming Connections
#SSH allowed
iptables -A INPUT --protocol tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp -m tcp --dport 22 -j ACCEPT
iptables -A OUTPUT --protocol tcp --sport 22 -m state -state ESTABLISHED -j ACCEPT
#Connections to Apache is allowed
iptables -A INPUT --protocol tcp -i eth0 --dport 8080 -j ACCEPT
iptables -A INPUT --protocol tcp -i eth0 --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp --dport 8080 -j ACCEPT
#Loopback is allowed
iptables -I INPUT 2 -i lo -j ACCEPT
Hozzászólások
Kicsit inkonzisztens:
-state ESTABLISHED vs --state ESTABLISHED
Igen, azt sikerült elírnom.
Más kérdés ezzel kapcsolatban:
- Ugye, ennek az lenne a lényege, hogy ne dobjon ki ssh-ról és tudjak is a jövőben csatlakozni. Plusz még apache porjaira is tudjak csatlakozni.
Ez ezekkel a szabályokkal menni fog rendesen?
`-A OUTPUT`-ba `--sport`-ot akartál.
ha nincs `-P OUTPUT DROP` akkor feleslegesek az OUTPUT szabályok.
`--state RELATED,ESTABLISHED`: a RELATED állapot is kelleni szokott (az első SYN+ACK beérkezésénél még nem ESTABLISHED a connection)
tűzfal szkriptben nem keverném a `-A`-t és a `-I`-t.
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack
A RELATED az esetleges icmp hibaüzenetek (pl egy icmp destination-unreachable az RELATED lenne) miatt kell(het) ha amúgy nem használsz több csatornás protokollt(FTP,SIP) elég az ESTABLISHED.
Nem javasolják egyébként a RELATED használatát mindenféle egyéb módosító nélkül:
Lásd még:
https://github.com/regit/secure-conntrack-helpers/blob/master/secure-co…
iptables man-ból:
ESTABLISHED
The packet is associated with a connection which has seen pack‐ets in both directions.
RELATED
The packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer or an ICMP error.
A beengedő szabályokon egy --state NEW még nem árt, ha már CONNTRACK-et használunk. Én át szoktam állítani a net.netfilter.nf_conntrack_tcp_loose paramétert is 0-ra.
nf_conntrack_tcp_loose
If it is set to zero, we disable picking up already established connections.
köszönöm, akkor ezek szerint tévúton jártam a RELATED-del kapcsolatban
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack