Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
1. iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
3. iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5. iptables -P OUTPUT ACCEPT
6. iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
8. iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A INPUT -p udp --dport 53 -j ACCEPT
10. iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
11. iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
13. iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables -A INPUT -p udp --dport 9418 -j ACCEPT
15. iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
1. tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve vpsadminu.
:)
- - snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5. iptables
-P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m state
--state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A
INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables -A
INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables -A
INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
musel jsem povolit (zapnout) iptables ve webovém rozhraní, když jsem rozcházel vpsku. Asi se dam do toho psaní textu o iptables na KB ... přijde mi důležité pustit dovnitř jen pakety s flagem SA pro jednotlivá spojení (třeba ssh) ... můžu? Tak do 2 měsíců by to mělo být na 100%, nemůžu slíbit, že to bude do týdne.
Vencour
Dne 12.7.2013 20:06, Pavel Snajdr napsal(a):
Ahoj,
- tohle -> podpora@vpsfree.cz
- Klik na Enable features ve vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5. iptables
-P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m state
--state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A
INPUT -p udp --dport 53 -j ACCEPT
- iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables -A
INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables -A
INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Jo a tady je seznam vsech podporovanejch iptables modulu, neni jich moc, no:
ip_tables iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT ip6_tables ip6t_rt ip6t_LOG ip6t_ipv6header ip6t_hbh ip6t_frag ip6t_ah ip6table_raw ip6table_mangle ip6table_filter nf_conntrack_ipv6 nf_defrag_ipv6 ip6_queue vzrst ip6t_REJECT ip6table_mangle nf_defrag_ipv6 ipt_hashlimit
- - snajpa
On 07/12/2013 08:06 PM, Pavel Snajdr wrote:
Ahoj,
- tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve
vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m
state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A
INPUT -p udp --dport 53 -j ACCEPT
- iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables
-A INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables
-A INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
meeh :/ neni string
Pavel Snajdr snajpa@snajpa.net wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Jo a tady je seznam vsech podporovanejch iptables modulu, neni jich moc, no:
ip_tables iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT ip6_tables ip6t_rt ip6t_LOG ip6t_ipv6header ip6t_hbh ip6t_frag ip6t_ah ip6table_raw ip6table_mangle ip6table_filter nf_conntrack_ipv6 nf_defrag_ipv6 ip6_queue vzrst ip6t_REJECT ip6table_mangle nf_defrag_ipv6 ipt_hashlimit
- snajpa
On 07/12/2013 08:06 PM, Pavel Snajdr wrote:
Ahoj,
- tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve
vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m
state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A
INPUT -p udp --dport 53 -j ACCEPT
- iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables
-A INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables
-A INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlHgSLIACgkQMBKdi9lkZ6p5DAD/V+i9KMWJepJBfXwAHuNZuYJo hyTjUCzS/1xvDtjbehMBANRtfoLJtBi+tFiorUPz/FGjbAV5IhSZFc2yvtLCffJx =8fID -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co to je za magii? Jak to teda vlastně funguje? Očidivně to "něco" filtruje, i když features zapnuty nejsou...
12. 7. 2013 v 20:06, Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
- tohle -> podpora@vpsfree.cz
- Klik na Enable features ve vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5. iptables
-P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m state
--state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables -A
INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12. iptables -A
INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14. iptables -A
INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlHgRZAACgkQMBKdi9lkZ6rOtgD9GTVuZ6z1L/g4mbmI3zrjZCrg cW1TDoj7Ufl6+l9edz4BALEGVAhct9DpmrQRKA7cb83bMD5qVeVgM387VetkfI+M =v+/x -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
To 6ty pravidlo nepovoli ty packety, ktery bys cekal, protoze ten modul neni povolenej - myslim, ze to to pravidlo ani nenacte (ale to si nejsem jistej). Takze kdyz pak ve finale dropnes vsechno co neproslo na nekterej accept, vlastne tak skonci v DROPu vsechno.
- - snajpa
On 07/12/2013 08:21 PM, Jan Sedlák wrote:
OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co to je za magii? Jak to teda vlastně funguje? Očidivně to "něco" filtruje, i když features zapnuty nejsou...
- 2013 v 20:06, Pavel Snajdr snajpa@snajpa.net:
Ahoj,
- tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve
vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j
ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m
state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables
-A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14.
iptables -A INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Sorry, 7my pravidlo :)
- - snajpa
On 07/12/2013 08:24 PM, Pavel Snajdr wrote:
To 6ty pravidlo nepovoli ty packety, ktery bys cekal, protoze ten modul neni povolenej - myslim, ze to to pravidlo ani nenacte (ale to si nejsem jistej). Takze kdyz pak ve finale dropnes vsechno co neproslo na nekterej accept, vlastne tak skonci v DROPu vsechno.
- snajpa
On 07/12/2013 08:21 PM, Jan Sedlák wrote:
OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co to je za magii? Jak to teda vlastně funguje? Očidivně to "něco" filtruje, i když features zapnuty nejsou...
- 2013 v 20:06, Pavel Snajdr snajpa@snajpa.net:
Ahoj,
- tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve
vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j
ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT
-m state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9.
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14.
iptables -A INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Aha, takže enable features ve vpsadminu vlastně povolí potřebny moduly. Díky za vysvětlení :-).
12. 7. 2013 v 20:25, Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Sorry, 7my pravidlo :)
- snajpa
On 07/12/2013 08:24 PM, Pavel Snajdr wrote:
To 6ty pravidlo nepovoli ty packety, ktery bys cekal, protoze ten modul neni povolenej - myslim, ze to to pravidlo ani nenacte (ale to si nejsem jistej). Takze kdyz pak ve finale dropnes vsechno co neproslo na nekterej accept, vlastne tak skonci v DROPu vsechno.
- snajpa
On 07/12/2013 08:21 PM, Jan Sedlák wrote:
OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co to je za magii? Jak to teda vlastně funguje? Očidivně to "něco" filtruje, i když features zapnuty nejsou...
- 2013 v 20:06, Pavel Snajdr snajpa@snajpa.net:
Ahoj,
- tohle -> podpora@vpsfree.cz 2. Klik na Enable features ve
vpsadminu.
:)
- snajpa
On 07/12/2013 08:03 PM, Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
- iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j
ACCEPT
- iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT
-m state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -p udp --sport 53 -j ACCEPT 9.
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14.
iptables -A INPUT -p udp --dport 9418 -j ACCEPT
- iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlHgShEACgkQMBKdi9lkZ6rDWQD+Mbpm7sHQv7A96++sH81vxE/J NpVbZHS/JM+pRRSyXlwBAMssayO43khUzvD9ckRr7cDsDZN6vsK2q57+sX+nhOTP =/Hxu -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jenom poznámka k těm pravidlům - přijde mi, že č. 8 nedělá nic jiného, než že povoluje veškerý UDP provoz na tvůj server od kohokoliv.
Jan Sedlák wrote:
Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:
iptables -F
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 9418 -j ACCEPT
iptables -A INPUT -p udp --dport 9418 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
(a pro ipv6 obdobně).
První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Jan Sedlák -
Jirka Bourek -
Pavel Snajdr -
Tomas Volf -
Václav Kratochvíl