[vpsFree.cz: community-list] Nastavení iptables na Scientific Linuxu
Pavel Snajdr
snajpa at snajpa.net
Fri Jul 12 20:24:32 CEST 2013
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
To 6ty pravidlo nepovoli ty packety, ktery bys cekal, protoze ten
modul neni povolenej - myslim, ze to to pravidlo ani nenacte (ale to
si nejsem jistej). Takze kdyz pak ve finale dropnes vsechno co
neproslo na nekterej accept, vlastne tak skonci v DROPu vsechno.
- - snajpa
On 07/12/2013 08:21 PM, Jan Sedlák wrote:
> OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co to
> je za magii? Jak to teda vlastně funguje? Očidivně to "něco"
> filtruje, i když features zapnuty nejsou...
>
> 12. 7. 2013 v 20:06, Pavel Snajdr <snajpa at snajpa.net>:
>
> Ahoj,
>
> 1. tohle -> podpora at vpsfree.cz 2. Klik na Enable features ve
> vpsadminu.
>
> :)
>
> - snajpa
>
> On 07/12/2013 08:03 PM, Jan Sedlák wrote:
>>>> Ahoj, řeším problém s nastavením firewallu pomocí iptables
>>>> na Scientific Linuxu. Aktuálně vypadají pravidla takto:
>>>>
>>>> 1. iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j
>>>> ACCEPT
>>>>
>>>> 3. iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
>>>> iptables -P OUTPUT ACCEPT
>>>>
>>>> 6. iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT -m
>>>> state --state ESTABLISHED,RELATED -j ACCEPT
>>>>
>>>> 8. iptables -A INPUT -p udp --sport 53 -j ACCEPT 9. iptables
>>>> -A INPUT -p udp --dport 53 -j ACCEPT
>>>>
>>>> 10. iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
>>>>
>>>> 11. iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12.
>>>> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>>>>
>>>> 13. iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14.
>>>> iptables -A INPUT -p udp --dport 9418 -j ACCEPT
>>>>
>>>> 15. iptables -A INPUT -p icmp -j ACCEPT
>>>>
>>>> (a pro ipv6 obdobně).
>>>>
>>>> První problém je, že pokud chci zahazovat veškeré packety
>>>> stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý
>>>> problém je, že mi nefunguje yum (spojení začnou timeoutovat),
>>>> ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se
>>>> stejnými problémy, ti však zapomněli přidat pravidlo 7, které
>>>> ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy
>>>> špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je
>>>> chyba někde v mých pravidlech?
>>>>
>>>> Honza _______________________________________________
>>>> Community-list mailing list Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlHgSeAACgkQMBKdi9lkZ6r0NgEAl4OQh4bfHtteSMIwm1BqrH8f
lm8vrJzFNJsaSam8m7cA/jtBt+kB6upxcoAAIxh3QhYFU6JbpSA1FxXNtRaopk0g
=R/Q+
-----END PGP SIGNATURE-----
More information about the Community-list
mailing list