[vpsFree.cz: community-list] Nastavení iptables na Scientific Linuxu
Jan Sedlák
boloomka at gmail.com
Fri Jul 12 20:31:24 CEST 2013
Aha, takže enable features ve vpsadminu vlastně povolí potřebny moduly. Díky za vysvětlení :-).
12. 7. 2013 v 20:25, Pavel Snajdr <snajpa at snajpa.net>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Sorry, 7my pravidlo :)
>
> - - snajpa
>
> On 07/12/2013 08:24 PM, Pavel Snajdr wrote:
>> To 6ty pravidlo nepovoli ty packety, ktery bys cekal, protoze ten
>> modul neni povolenej - myslim, ze to to pravidlo ani nenacte (ale
>> to si nejsem jistej). Takze kdyz pak ve finale dropnes vsechno co
>> neproslo na nekterej accept, vlastne tak skonci v DROPu vsechno.
>>
>> - snajpa
>>
>> On 07/12/2013 08:21 PM, Jan Sedlák wrote:
>>> OK, OK, příště už budu směřovat dotazy tam. Nicméně stejně, co
>>> to je za magii? Jak to teda vlastně funguje? Očidivně to "něco"
>>> filtruje, i když features zapnuty nejsou...
>>
>>> 12. 7. 2013 v 20:06, Pavel Snajdr <snajpa at snajpa.net>:
>>
>>> Ahoj,
>>
>>> 1. tohle -> podpora at vpsfree.cz 2. Klik na Enable features ve
>>> vpsadminu.
>>
>>> :)
>>
>>> - snajpa
>>
>>> On 07/12/2013 08:03 PM, Jan Sedlák wrote:
>>>>>> Ahoj, řeším problém s nastavením firewallu pomocí iptables
>>>>>> na Scientific Linuxu. Aktuálně vypadají pravidla takto:
>>>>>>
>>>>>> 1. iptables -F 2. iptables -A INPUT -p tcp --dport 22 -j
>>>>>> ACCEPT
>>>>>>
>>>>>> 3. iptables -P INPUT DROP 4. iptables -P FORWARD DROP 5.
>>>>>> iptables -P OUTPUT ACCEPT
>>>>>>
>>>>>> 6. iptables -A INPUT -i lo -j ACCEPT 7. iptables -A INPUT
>>>>>> -m state --state ESTABLISHED,RELATED -j ACCEPT
>>>>>>
>>>>>> 8. iptables -A INPUT -p udp --sport 53 -j ACCEPT 9.
>>>>>> iptables -A INPUT -p udp --dport 53 -j ACCEPT
>>>>>>
>>>>>> 10. iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT
>>>>>>
>>>>>> 11. iptables -A INPUT -p tcp --dport 80 -j ACCEPT 12.
>>>>>> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>>>>>>
>>>>>> 13. iptables -A INPUT -p tcp --dport 9418 -j ACCEPT 14.
>>>>>> iptables -A INPUT -p udp --dport 9418 -j ACCEPT
>>>>>>
>>>>>> 15. iptables -A INPUT -p icmp -j ACCEPT
>>>>>>
>>>>>> (a pro ipv6 obdobně).
>>>>>>
>>>>>> První problém je, že pokud chci zahazovat veškeré packety
>>>>>> stavu INVALID, začnou se mi zahazovat VŠECHNY packety.
>>>>>> Druhý problém je, že mi nefunguje yum (spojení začnou
>>>>>> timeoutovat), ačkoliv by měl. Po chvilce googlení jsem
>>>>>> narazil na lidi se stejnými problémy, ti však zapomněli
>>>>>> přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá,
>>>>>> jako kdyby byly stavy špatně detekovány (ESTABLISHED,
>>>>>> RELATED i INVALID). Nebo je chyba někde v mých pravidlech?
>>>>>>
>>>>>> Honza _______________________________________________
>>>>>> Community-list mailing list Community-list at lists.vpsfree.cz
>>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> _______________________________________________ Community-list
>>>> mailing list Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>> _______________________________________________ Community-list
>>> mailing list Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.12 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iF4EAREIAAYFAlHgShEACgkQMBKdi9lkZ6rDWQD+Mbpm7sHQv7A96++sH81vxE/J
> NpVbZHS/JM+pRRSyXlwBAMssayO43khUzvD9ckRr7cDsDZN6vsK2q57+sX+nhOTP
> =/Hxu
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list