frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

Delay po IPtables taisykliu įrašymo.

srrosrro Naujokas (-ė)
edited 2015 sausio 2 Į Pagalba
Sveiki, turiu tokia keista probelam (gal tai neproblema, bet nervuoja).
Taigi pasikūriau tokius IPtables rules (gal pakoreguokite jei kas negerai...) Čia pries bootinant serva visad paleidžia šita scripta.
Padarius šitas rules atsirado mažas delay (10-11sec) tarp username "patikrinimo" ir passwordo "prašymo" jungiantis prie servo per ssh.
Video čia kad aiškiau būtų
#!/bin/sh
IPT=/sbin/iptables
$IPT -F
#policies
$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -N SERVICES
#allowed inputs
$IPT -A INPUT --in-interface lo -j ACCEPT
$IPT -A INPUT -j SERVICES
#all the packets that are not syn dropped
$IPT -A SERVICES -p tcp ! --syn -m state --state NEW -j DROP
#DISABLE ICMP PING
$IPT -A SERVICES -p icmp --icmp-type echo-request -j DROP
#Disable Mysql Port From Outside
$IPT -A SERVICES -p tcp --dport 3306 -j DROP
#allowed inputs services
$IPT -A SERVICES -p tcp --dport 22 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 53 -j ACCEPT
$IPT -A SERVICES -p udp --dport 53 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 25 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 21 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 80 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7778 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 443 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 953 -j ACCEPT
$IPT -A SERVICES -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT
#allowed inputs teamspeak
$IPT -A SERVICES -p udp --dport 9987 -j ACCEPT
$IPT -t nat -A PREROUTING -p udp --dport 7777 -j REDIRECT --to-ports 9987
$IPT -A FORWARD -p udp --dport 9987 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 10011 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 30033 -j ACCEPT
#Mail services POP and etc
$IPT -A SERVICES -p tcp --dport 993 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 995 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 110 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 143 -j ACCEPT

Gal žinote kodėl?

Komentarai

  • IV_VygandasSIV_VygandasS Serverių ekspertas (-ė)
    edited 2014 gruodžio 11
    Pakeiskite eilutę:
    $IPT -A INPUT --in-interface lo -j ACCEPT
    

    į:
    $IPT -A INPUT --in-interface venet0 -j ACCEPT
    
  • srrosrro Naujokas (-ė)
    edited 2014 gruodžio 11
    IV_VygandasS parašė: »
    Pakeiskite eilutę:
    $IPT -A INPUT --in-interface lo -j ACCEPT
    

    į:
    $IPT -A INPUT --in-interface venet0 -j ACCEPT
    

    Dėkui padėjo :) Kažkaip kopindamas eilutes pamiršau i savo interfeisa pakeist...
  • srrosrro Naujokas (-ė)
    edited 2014 gruodžio 19
    IV_VygandasS parašė: »
    Pakeiskite eilutę:
    $IPT -A INPUT --in-interface lo -j ACCEPT
    

    į:
    $IPT -A INPUT --in-interface venet0 -j ACCEPT
    

    Dar klausimas su šita taisyklę.
    $IPT -A INPUT --in-interface venet0 -j ACCEPT
    

    Keista kai ši interface taisyklė yra virš paprastų portų taisyklių tada tarkim pakeitus $IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT Į $IPT -A SERVICES -p tcp --dport 7777 -j DROP (taisyklė nesuveikia).

    Jeigu iš vis interface taisyklę užkomentinu tada išvis negaliu naudoti kaikurių servisų (mailo,xvnc)

    Jei ikėlus interface taisyklę i patį galą po visų taisyklių tada kaip ir suveikia tas DROP.
    Kodėl taip?
  • IV_VygandasSIV_VygandasS Serverių ekspertas (-ė)
    edited 2014 gruodžio 23
    iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.
  • srrosrro Naujokas (-ė)
    edited 2014 gruodžio 23
    IV_VygandasS parašė: »
    iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.

    Tačiau prievadus aš blokuoju/aceptinu nenurodęs interface'o tai reiškia jie visi bus "dropped" visuose interface'uose - venet0, venet0:0 ? O kai pridedu šią rule tai bus viskas aceptina iš "lokalaus" interface'o (127.0.0.1)? O tuo metu kiti dropinti ?

    Nes jai interface'o taisykle įmetu čia:
    #!/bin/sh
    IPT=/sbin/iptables
    $IPT -F
    #policies
    $IPT -P OUTPUT ACCEPT
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    #allowed inputs
    [B]$IPT -A INPUT --in-interface venet0 -j ACCEPT[/B]
    

    Tuomet -P INPUT DROP neveikia ir interfaceui (išorinis ip) venet0:0 ir viskas "atidaryta" nors taisyklė tik "vidiniam" interfaceui.

    Atsiprašau kad tiek klausiu tiesiog niekaip nesuprantu...
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2014 gruodžio 29
    Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?
  • srrosrro Naujokas (-ė)
    edited 2014 gruodžio 29
    IV_RomanL parašė: »
    Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?

    Uždrausti visus portus isskyrus šitus + uždrausti pingą ir užmesti visokius syyn flood filtrus.
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2014 gruodžio 29
    Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

    https://forumas.dedikuoti.lt/showthread.php?t=508
  • srrosrro Naujokas (-ė)
    edited 2014 gruodžio 29
    IV_RomanL parašė: »
    Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

    https://forumas.dedikuoti.lt/showthread.php?t=508

    O tuomet iptables disablint visiskai?
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2014 gruodžio 29
    Ne to daryti nereikia, iptables yra servisas kurį kontroliuos CSF.
  • srrosrro Naujokas (-ė)
    edited 2015 sausio 2
    Paskutinis klausimas tada. Tai šitas CSF labiau prievadų "managinimui"? Visokius portų redirectinimus tarkim jei žmogus jungiasi į vieną porta ji į kita paforwardinti tai daryti per iptables?
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2015 sausio 2
    srro parašė: »
    Paskutinis klausimas tada. Tai šitas CSF labiau prievadų "managinimui"? Visokius portų redirectinimus tarkim jei žmogus jungiasi į vieną porta ji į kita paforwardinti tai daryti per iptables?

    CSF yra programinė įranga skirta kontroliuoti iptables. Tad, visus veiksmus galite atlikti naudojantis CSF programine įranga. Tas galioja ir jūsų minėtiems veiksmams.
Norėdami palikti komentarą, turite prisijungti arba registruokis.