iptables szabalyai rejtelyesen bovulnek

Linux-security

Rejtelyesen bovul az INPUT es a FORWARD chain egy DROP any any -val, ami eleg jol megneheziti az eletunket.
Nem tudunk rendszeresen egy mindent kisopro tisztogato scriptet futtatni, mert az orak elejen a tanerok lehet, hogy kikapcsolgatjak a termekben a netet, vagy csak szurik iwiw-re es myvip-re.
Viszont hogy kerulhet oda az a DROP?
Van valami programunk, ami odaszemeteli?
Elvileg egy nagy flincflanc nelkuli sarge telepites.

Merre erdemes vizsgalodni?

Itt az iptables -L kimenetenek reszlete akkor, amikor nem vagyunk kivulrol elerhetoek:

Chain INPUT (policy ACCEPT)
--output committed--
DROP 0 -- anywhere anywhere state INVALID,NEW

Chain FORWARD (policy ACCEPT)
--output committed--
DROP 0 -- anywhere anywhere state INVALID,NEW

  • 1314 megtekintés

( pezo v | 2008. 05. 29., cs – 13:09 )

a kernel a 2.6.18-as, es szerintem a telepiteskori valtozat.
uname -a "Linux gate 2.6.18-6-686 #1 ..."

( stra | 2008. 05. 29., cs – 13:56 )

Valami nem megfelelően beállított IDS vagy portscan-detektáló szoftver nem fut? A portsentry például képes tűzfalszabállyal tiltásra. Körül kellene nézni a futó programok között, esetleg a cron alatt.

Az anomália felderítéséig kerülőútként lehet tenni - a default policy ACCEPT miatt - a szabályok végére egy -j ACCEPT sort, így ha a végére hozzáíródik a DROP, azt már nem fogja elérni.

Bár nem szorosan a témához kapcsolódik, de az Etch több mint egy éves, a Sarge biztonsági támogatása pedig befejeződött.

( zeller | 2008. 05. 29., cs – 14:18 )

Jól vannak azok ott, ahol vannak... Minden sz...rt, meg az explicit rule-lal nem engedett forgalmat kihajítja. A default policy-t tessék DENY-re állítani, a szükséges forgalmakat explicit módon engedni, utána berakni egy-egy rate-limittel megspékelt logolást külön tcp, udp, meg icmp-forgalomra, majd sasolni a logot, hogy mit felejtettél ki.

Ja, a forward-hoz meg fölösleges nyúlni, az pláne jól van (bár state-től függetlenül lenne a korrekt, hacsak nem tűzfal/router a kicsike...)