Delay po IPtables taisykliu įrašymo.

srro

Sveiki, turiu tokia keista probelam (gal tai neproblema, bet nervuoja).
Taigi pasikūriau tokius IPtables rules (gal pakoreguokite jei kas negerai...) Čia pries bootinant serva visad paleidžia šita scripta.
Padarius šitas rules atsirado mažas delay (10-11sec) tarp username "patikrinimo" ir passwordo "prašymo" jungiantis prie servo per ssh.
Video čia kad aiškiau būtų

#!/bin/sh
IPT=/sbin/iptables
$IPT -F
#policies
$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -N SERVICES
#allowed inputs
$IPT -A INPUT --in-interface lo -j ACCEPT
$IPT -A INPUT -j SERVICES
#all the packets that are not syn dropped
$IPT -A SERVICES -p tcp ! --syn -m state --state NEW -j DROP
#DISABLE ICMP PING
$IPT -A SERVICES -p icmp --icmp-type echo-request -j DROP
#Disable Mysql Port From Outside
$IPT -A SERVICES -p tcp --dport 3306 -j DROP
#allowed inputs services
$IPT -A SERVICES -p tcp --dport 22 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 53 -j ACCEPT
$IPT -A SERVICES -p udp --dport 53 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 25 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 21 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 80 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7778 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 443 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 953 -j ACCEPT
$IPT -A SERVICES -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT
#allowed inputs teamspeak
$IPT -A SERVICES -p udp --dport 9987 -j ACCEPT
$IPT -t nat -A PREROUTING -p udp --dport 7777 -j REDIRECT --to-ports 9987
$IPT -A FORWARD -p udp --dport 9987 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 10011 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 30033 -j ACCEPT
#Mail services POP and etc
$IPT -A SERVICES -p tcp --dport 993 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 995 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 110 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 143 -j ACCEPT

Gal žinote kodėl?

IV_VygandasS

Pakeiskite eilutę:

$IPT -A INPUT --in-interface lo -j ACCEPT

į:

$IPT -A INPUT --in-interface venet0 -j ACCEPT

srro

IV_VygandasS parašė: »

Pakeiskite eilutę:

$IPT -A INPUT --in-interface lo -j ACCEPT

į:

$IPT -A INPUT --in-interface venet0 -j ACCEPT

Dėkui padėjo Kažkaip kopindamas eilutes pamiršau i savo interfeisa pakeist...

srro

IV_VygandasS parašė: »

Pakeiskite eilutę:

$IPT -A INPUT --in-interface lo -j ACCEPT

į:

$IPT -A INPUT --in-interface venet0 -j ACCEPT

Dar klausimas su šita taisyklę.

$IPT -A INPUT --in-interface venet0 -j ACCEPT

Keista kai ši interface taisyklė yra virš paprastų portų taisyklių tada tarkim pakeitus $IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT Į $IPT -A SERVICES -p tcp --dport 7777 -j DROP (taisyklė nesuveikia).

Jeigu iš vis interface taisyklę užkomentinu tada išvis negaliu naudoti kaikurių servisų (mailo,xvnc)

Jei ikėlus interface taisyklę i patį galą po visų taisyklių tada kaip ir suveikia tas DROP.
Kodėl taip?

IV_VygandasS

iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.

srro

IV_VygandasS parašė: »

iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.

Tačiau prievadus aš blokuoju/aceptinu nenurodęs interface'o tai reiškia jie visi bus "dropped" visuose interface'uose - venet0, venet0:0 ? O kai pridedu šią rule tai bus viskas aceptina iš "lokalaus" interface'o (127.0.0.1)? O tuo metu kiti dropinti ?

Nes jai interface'o taisykle įmetu čia:

#!/bin/sh
IPT=/sbin/iptables
$IPT -F
#policies
$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
#allowed inputs
[B]$IPT -A INPUT --in-interface venet0 -j ACCEPT[/B]

Tuomet -P INPUT DROP neveikia ir interfaceui (išorinis ip) venet0:0 ir viskas "atidaryta" nors taisyklė tik "vidiniam" interfaceui.

Atsiprašau kad tiek klausiu tiesiog niekaip nesuprantu...

IV_RomanL

Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?

srro

IV_RomanL parašė: »

Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?

Uždrausti visus portus isskyrus šitus + uždrausti pingą ir užmesti visokius syyn flood filtrus.

IV_RomanL

Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

https://forumas.dedikuoti.lt/showthread.php?t=508

srro

IV_RomanL parašė: »

Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

https://forumas.dedikuoti.lt/showthread.php?t=508

O tuomet iptables disablint visiskai?

IV_RomanL

Ne to daryti nereikia, iptables yra servisas kurį kontroliuos CSF.

srro

Paskutinis klausimas tada. Tai šitas CSF labiau prievadų "managinimui"? Visokius portų redirectinimus tarkim jei žmogus jungiasi į vieną porta ji į kita paforwardinti tai daryti per iptables?

IV_RomanL

srro parašė: »

Paskutinis klausimas tada. Tai šitas CSF labiau prievadų "managinimui"? Visokius portų redirectinimus tarkim jei žmogus jungiasi į vieną porta ji į kita paforwardinti tai daryti per iptables?

CSF yra programinė įranga skirta kontroliuoti iptables. Tad, visus veiksmus galite atlikti naudojantis CSF programine įranga. Tas galioja ir jūsų minėtiems veiksmams.