Kandu.dk - Iptables/DNS


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Iptables/DNS
Fra : Michael Zedeler

Dato : 15-12-03 21:57

Hej alle,

Jeg har sat en maskine op som skal afvise al trafik, pånær ssh fra en
bestemt adresse og webtrafik (ja, det er en webserver Glad

.

Det virker fint, pånær en enkelt, irriterende ting - den har også
blokeret for udgående DNS fra serveren selv. Underligt nok er der slet
ingen regler i OUTPUT-chain. Er der noget jeg har misforstået?

Nedenfor er output fra ichains -L -n.

Enhver hjælp vil blive værdsat.

Mvh. Michael.

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Lokkit-0-50-INPUT (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:42
state RELATED,ESTABLISHED
ACCEPT tcp -- 62.79.xxx.yyy 0.0.0.0/0 tcp dpt:10000
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
flags:0x16/0x02
ACCEPT tcp -- 62.79.xxx.yyy 0.0.0.0/0 tcp dpt:22
flags:0x16/0x02
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x16/0x02 reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp
reject-with icmp-port-unreachable

Klaus Ellegaard (15-12-2003)

Kommentar
Fra : Klaus Ellegaard

Dato : 15-12-03 22:12

Michael Zedeler <michael@zedeler.dk> writes:

>Det virker fint, pånær en enkelt, irriterende ting - den har også
>blokeret for udgående DNS fra serveren selv. Underligt nok er der slet
>ingen regler i OUTPUT-chain. Er der noget jeg har misforstået?

....

>REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp
>reject-with icmp-port-unreachable

Dér dør dine DNS-forespørgsler.

Mvh.
Klaus.

Michael Zedeler (15-12-2003)

Kommentar
Fra : Michael Zedeler

Dato : 15-12-03 22:20

Klaus Ellegaard wrote:

> Michael Zedeler <michael@zedeler.dk> writes:
>
>
>>Det virker fint, pånær en enkelt, irriterende ting - den har også
>>blokeret for udgående DNS fra serveren selv. Underligt nok er der slet
>>ingen regler i OUTPUT-chain. Er der noget jeg har misforstået?
>
>
> ...
>
>
>>REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp
>>reject-with icmp-port-unreachable
>
>
> Dér dør dine DNS-forespørgsler.

....men det er på min INPUT chain...?

Har jeg misforstået koncepterne INPUT/OUTPUT? Er trafik fra serveren til
nettet også noget som sendes igennem den opsatte INPUT-chain? Hvad
bruger man så OUTPUT til?

mvh. Michael.

Klaus Ellegaard (15-12-2003)

Kommentar
Fra : Klaus Ellegaard

Dato : 15-12-03 22:27

Michael Zedeler <michael@zedeler.dk> writes:

>> Dér dør dine DNS-forespørgsler.

>...men det er på min INPUT chain...?

Du sender en forespørgsel ud til port 53/udp. Svaret kommer fra
port 53/udp og ind til dig. Du afviser imidlertid al UDP-trafik,
så retursvaret dør i den regel.

Det ville nok være en god plan at åbne for indkommende udp fra
port 53. Evt. kun fra den server, du har defineret som din DNS-
server. Medmindre du altså selv kører en sådan fætter.

>Har jeg misforstået koncepterne INPUT/OUTPUT?

Nejnej, den er skam god nok.

Mvh.
Klaus.

Michael Zedeler (15-12-2003)

Kommentar
Fra : Michael Zedeler

Dato : 15-12-03 22:55

Klaus Ellegaard wrote:
> Michael Zedeler <michael@zedeler.dk> writes:
>
>
>>>Dér dør dine DNS-forespørgsler.
>
>
>>...men det er på min INPUT chain...?
>
>
> Du sender en forespørgsel ud til port 53/udp. Svaret kommer fra
> port 53/udp og ind til dig. Du afviser imidlertid al UDP-trafik,
> så retursvaret dør i den regel.

Duh!

> Det ville nok være en god plan at åbne for indkommende udp fra
> port 53. Evt. kun fra den server, du har defineret som din DNS-
> server. Medmindre du altså selv kører en sådan fætter.

Er der ikke mulighed for at lave en regel som siger noget i stil med
"sender jeg noget til port 53/udp, skal jeg også acceptere svar fra
samme adresse fra port det næste minut"?

Mvh. Michael.

Jacob Bunk Nielsen (15-12-2003)

Kommentar
Fra : Jacob Bunk Nielsen

Dato : 15-12-03 23:09

Michael Zedeler <michael@zedeler.dk> writes:

> Er der ikke mulighed for at lave en regel som siger noget i stil med
> "sender jeg noget til port 53/udp, skal jeg også acceptere svar fra
> samme adresse fra port det næste minut"?

Jo. Kig på states ESTABLISHED og RELATED. Jeg bruger:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

.... og så åbner jeg for specifikke services med:

iptables -A INPUT -m state --protocol tcp --state NEW --destination-port http -j ACCEPT

--
Jacob - www.bunk.cc
You will forget that you ever knew me.

Michael Zedeler (15-12-2003)

Kommentar
Fra : Michael Zedeler

Dato : 15-12-03 23:27

Jacob Bunk Nielsen wrote:
> Michael Zedeler <michael@zedeler.dk> writes:
>
>
>>Er der ikke mulighed for at lave en regel som siger noget i stil med
>>"sender jeg noget til port 53/udp, skal jeg også acceptere svar fra
>>samme adresse fra port det næste minut"?
>
>
> Jo. Kig på states ESTABLISHED og RELATED. Jeg bruger:
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Jeps... det virker dælme. Det er altså efterhånden et pænt avanceret
packet-filter der er i Linux. Jeg er imponeret. Det er noget andet en
fwtk fra Trusted Information Systems (anno 1996).

Tak for hjælpen.

Mvh. Michael.

Søg

Reklame

Statistik

Spørgsmål :	177551
Tips :	31968
Nyheder :	719565
Indlæg :	6408836
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste