|
|
 | iptables - INPUT regel
Fra : Peter |
Dato : 08-06-02 09:45 |
|
Hej
Jeg har en stand-alone Linux firewall.
Hvis jeg SSH'er mig til den og forsøger at pinge eller FTP får den ikke
noget svar med mindre jeg accepter al INPUT trafik.
Hvordan laver man en regel, der siger, at al INPUT-trafik til denne maskine
accepteres når det er den selv der pinger eller lignende uden at åbne for
alt?
Jeg tvivler på det er noget med stateful at gøre når alt virker blot jeg
accepterer alt på input...
Håber jeg har forklaret mig tydeligt nok.
Hilsen Peter
| |
 Tonni Aagesen (08-06-2002)
| Kommentar
Fra : Tonni Aagesen |
Dato : 08-06-02 11:02 |
|
"Peter" <no_spam@no.where> skrev i en meddelelse
news:HujM8.16$TQ.544@news.get2net.dk...
> Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
maskine
> accepteres når det er den selv der pinger eller lignende uden at åbne for
> alt?
Prøv med:
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
Hvis du har sat sshd til at lytte på en anden port end 22, skal du
selvfølgelig ændre det til tilsvarende i ovenstående.
--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>
| |
Peter (08-06-2002)
| Kommentar
Fra : Peter |
Dato : 08-06-02 11:56 |
|
"Tonni Aagesen" <use.my@signature.please> wrote in message
news:adskm6$spb$1@sunsite.dk...
> "Peter" <no_spam@no.where> skrev i en meddelelse
> news:HujM8.16$TQ.544@news.get2net.dk...
>
> > Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
> maskine
> > accepteres når det er den selv der pinger eller lignende uden at åbne
for
> > alt?
>
> Prøv med:
>
> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
Det goer desvaerre ingen forskel.
Mine input regler er som foelger:
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Output = ACCEPT
Men det er nu ikke SSH der er problemet.
Problemet er naar man fysisk sidder paa maskinen (stand alone FW) og
forsoeger at pinge en adresse.
Der faar den intet svar med mindre jeg giver den en:
iptables -P INPUT ACCEPT
Jeg tror derfor det vil vaere noedvendigt at forklare FW at naar det er den
_selv_ der pinger osv skal den tillade det.
Hilsen Peter
| |
 Rasmus Bøg Hansen (08-06-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 08-06-02 12:57 |
|
Peter wrote:
>> > Hvordan laver man en regel, der siger, at al INPUT-trafik til denne
>> maskine
>> > accepteres når det er den selv der pinger eller lignende uden at åbne
> for
>> > alt?
>> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
> Det goer desvaerre ingen forskel.
> Mine input regler er som foelger:
Prøv at indsætte:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Jeg ville sætte en --syn på her.
> Output = ACCEPT
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Beware of programmers who carry screwdrivers
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peter (08-06-2002)
| Kommentar
Fra : Peter |
Dato : 08-06-02 13:58 |
|
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Så virker det! 
> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Den giver "Operation not permitted" :-/
> > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
> > iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>
> Jeg ville sætte en --syn på her.
Hvilken ekstra sikkerhed giver det?
Fik at vide det var ligemeget så er lidt nysgerrig
Hilsen Peter
| |
Rasmus Bøg Hansen (08-06-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 08-06-02 16:19 |
|
Peter wrote:
>> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> Den giver "Operation not permitted" :-/
Meget sært, det virker fint på min. Er du sikker på, at du er root og at
den er skrevet korrekt af?
>> > iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>>
>> Jeg ville sætte en --syn på her.
>
> Hvilken ekstra sikkerhed giver det?
> Fik at vide det var ligemeget så er lidt nysgerrig
Du lader kun etablerede forbindelser og nye forbindelser - ikke SYN/FIN,
XMAS og NULL scans.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If a trainstation is the place where trains stop, what is a workstation?
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peter (08-06-2002)
| Kommentar
Fra : Peter |
Dato : 08-06-02 20:04 |
|
"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:adt7a1$hu9$1@carlsberg.amagerkollegiet.dk...
> Peter wrote:
>
> >> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> >
> > Den giver "Operation not permitted" :-/
>
> Meget sært, det virker fint på min. Er du sikker på, at du er root og at
> den er skrevet korrekt af?
Jeps. Der er kun root på systemet og hvis den ikke var skrevet af korrekt
ville den melde en fejl ud.
Det er min DROP policy der fanger den og giver Operation not permitted...
Er din maskine da også stand alone?
Jeg kan egentligt heller ikke se, hvorfor den ikke bliver tilladt af din
regel.
Men om ikke andet er jeg kommet et stort skridt videre nu, hvor min INPUT
regel fungerer.
Der er vel heller ikke den store fare i at tillade OUTPUT da man jo skal
komme indefra for at kunne anvende den.
Hilsen Peter
| |
Rasmus Bøg Hansen (08-06-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 08-06-02 20:15 |
|
Peter wrote:
>> >> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> >
>> > Den giver "Operation not permitted" :-/
>>
>> Meget sært, det virker fint på min. Er du sikker på, at du er root og at
>> den er skrevet korrekt af?
>
> Jeps. Der er kun root på systemet og hvis den ikke var skrevet af korrekt
> ville den melde en fejl ud.
>
> Det er min DROP policy der fanger den og giver Operation not permitted...
Øh, snakker vi trafik eller iptables-kommandoen? Du kan ikke få 'Operation
not permitted' af en iptables-kommando fra en DROP-policy svjv.
> Er din maskine da også stand alone?
Min egen er, ja. Jeg passer dog også en router/firewall. Ingen af dem giver
dette problem.
> Men om ikke andet er jeg kommet et stort skridt videre nu, hvor min INPUT
> regel fungerer.
> Der er vel heller ikke den store fare i at tillade OUTPUT da man jo skal
> komme indefra for at kunne anvende den.
Hvis du stoler på alle dine programmer ol. er det ikke det store problem -
men der findes jo trojanske heste ol...
Hvis du tillader al udgående trafik (som du tilsyneladende gør), er
ovenstående overflødig.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Man invented language to satisfy his deep need to complain.
-- Lily Tomlin
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peter (08-06-2002)
| Kommentar
Fra : Peter |
Dato : 08-06-02 21:12 |
|
> > Det er min DROP policy der fanger den og giver Operation not
permitted...
>
> Øh, snakker vi trafik eller iptables-kommandoen? Du kan ikke få 'Operation
> not permitted' af en iptables-kommando fra en DROP-policy svjv.
Naar jeg pinger får jeg Operation not permitted.
Dette skyldes, at min OUTPUT POLICY er sat til DROP og ingen af mine OUTPUT
regler fanger ping-pakken inden.
Hvis den saettes til ACCEPT er der ingen problemer, men det er jo det vi
helst skulle undgaa.
> Hvis du stoler på alle dine programmer ol. er det ikke det store problem -
> men der findes jo trojanske heste ol...
Ah ja...
> Hvis du tillader al udgående trafik (som du tilsyneladende gør), er
> ovenstående overflødig.
Jeg ville nu helst have en DROP på OUTPUT og saa kun aabne naar det var
noedvendigt.
Hilsen Peter
| |
Rasmus Bøg Hansen (08-06-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 08-06-02 21:28 |
|
Peter wrote:
>> > Det er min DROP policy der fanger den og giver Operation not
> permitted...
> Naar jeg pinger får jeg Operation not permitted.
> Dette skyldes, at min OUTPUT POLICY er sat til DROP og ingen af mine
> OUTPUT regler fanger ping-pakken inden.
> Hvis den saettes til ACCEPT er der ingen problemer, men det er jo det vi
> helst skulle undgaa.
Nååå, på den måde - så er jeg med...
OUTTCP="21 22 43 79 80 110 119 139 443 993 995 1863 2401 5190 6667 8080"
OUTUDP="53 123 137 138"
OUTICMP="echo-request echo-reply destination-unreachable time-exceeded
parameter-problem"
for port in $OUTTCP
do
/sbin/iptables -A OUTPUT -p tcp --dport $port --syn -j ACCEPT
done
for port in $OUTUDP
do
/sbin/iptables -A OUTPUT -p udp --dport $port -j ACCEPT
done
for icmp in $OUTICMP
do
/sbin/iptables -A OUTPUT -p icmp --icmp-type $icmp -j ACCEPT
done
Måske du ka' bruge det til noget?
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I think the sum of intelligence on the internet is constant.
Only the number of users grows.
- Uwe Ohse in the monastery
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peter (09-06-2002)
| Kommentar
Fra : Peter |
Dato : 09-06-02 09:31 |
|
"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:adtpcs$am$2@carlsberg.amagerkollegiet.dk...
> OUTTCP="21 22 43 79 80 110 119 139 443 993 995 1863 2401 5190 6667 8080"
> OUTUDP="53 123 137 138"
> OUTICMP="echo-request echo-reply destination-unreachable time-exceeded
> parameter-problem"
> for port in $OUTTCP
> do
> /sbin/iptables -A OUTPUT -p tcp --dport $port --syn -j ACCEPT
> done
> for port in $OUTUDP
> do
> /sbin/iptables -A OUTPUT -p udp --dport $port -j ACCEPT
> done
> for icmp in $OUTICMP
> do
> /sbin/iptables -A OUTPUT -p icmp --icmp-type $icmp -j ACCEPT
> done
>
> Måske du ka' bruge det til noget?
Ja for søren jeg kan da!
Den åbner det den skal uden problemer.
Jeg har ledt efter en måde at lave arrays i shell og det er jo bl.a. det du
viser der.
Takker!
Hilsen Peter
| |
|
|