Dedikuoti serveriai, VDS hostingas, debesų kompiuterija
Interneto vizija
Karjera El. paštas

Grįžti   Dedikuoti.lt forumas > Bendruomenės diskusijos > Pagalba

Atsakyti
 
Temos įrankiai Ieškoti šioje temoje
  #1  
Senas 2014-12-10, 22:47
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Delay po IPtables taisykliu įrašymo.

Sveiki, turiu tokia keista probelam (gal tai neproblema, bet nervuoja).
Taigi pasikūriau tokius IPtables rules (gal pakoreguokite jei kas negerai...) Čia pries bootinant serva visad paleidžia šita scripta.
Padarius šitas rules atsirado mažas delay (10-11sec) tarp username "patikrinimo" ir passwordo "prašymo" jungiantis prie servo per ssh.
Video čia kad aiškiau būtų
Citata:
#!/bin/sh
IPT=/sbin/iptables
$IPT -F
#policies
$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -N SERVICES
#allowed inputs
$IPT -A INPUT --in-interface lo -j ACCEPT
$IPT -A INPUT -j SERVICES
#all the packets that are not syn dropped
$IPT -A SERVICES -p tcp ! --syn -m state --state NEW -j DROP
#DISABLE ICMP PING
$IPT -A SERVICES -p icmp --icmp-type echo-request -j DROP
#Disable Mysql Port From Outside
$IPT -A SERVICES -p tcp --dport 3306 -j DROP
#allowed inputs services
$IPT -A SERVICES -p tcp --dport 22 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 53 -j ACCEPT
$IPT -A SERVICES -p udp --dport 53 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 25 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 21 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 80 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 7778 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 443 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 953 -j ACCEPT
$IPT -A SERVICES -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT
#allowed inputs teamspeak
$IPT -A SERVICES -p udp --dport 9987 -j ACCEPT
$IPT -t nat -A PREROUTING -p udp --dport 7777 -j REDIRECT --to-ports 9987
$IPT -A FORWARD -p udp --dport 9987 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 10011 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 30033 -j ACCEPT
#Mail services POP and etc
$IPT -A SERVICES -p tcp --dport 993 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 995 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 110 -j ACCEPT
$IPT -A SERVICES -p tcp --dport 143 -j ACCEPT
Gal žinote kodėl?

Paskutinį kartą redagavo srro : 2014-12-10 22:50
Atsakyti su citata
  #2  
Senas 2014-12-11, 13:48
IV_VygandasS avataras
IV_VygandasS IV_VygandasS neprisijungęs
Serverių ekspertas (-ė)
 
Prisiregistravo: 2013 03
Žinutės: 169
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Pakeiskite eilutę:

Kodas:
$IPT -A INPUT --in-interface lo -j ACCEPT
į:

Kodas:
$IPT -A INPUT --in-interface venet0 -j ACCEPT
Atsakyti su citata
  #3  
Senas 2014-12-11, 14:14
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Citata:
IV_VygandasS rašė Peržiūrėti žinutę
Pakeiskite eilutę:

Kodas:
$IPT -A INPUT --in-interface lo -j ACCEPT
į:

Kodas:
$IPT -A INPUT --in-interface venet0 -j ACCEPT
Dėkui padėjo Kažkaip kopindamas eilutes pamiršau i savo interfeisa pakeist...
Atsakyti su citata
  #4  
Senas 2014-12-20, 00:10
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Citata:
IV_VygandasS rašė Peržiūrėti žinutę
Pakeiskite eilutę:

Kodas:
$IPT -A INPUT --in-interface lo -j ACCEPT
į:

Kodas:
$IPT -A INPUT --in-interface venet0 -j ACCEPT
Dar klausimas su šita taisyklę.
Kodas:
$IPT -A INPUT --in-interface venet0 -j ACCEPT
Keista kai ši interface taisyklė yra virš paprastų portų taisyklių tada tarkim pakeitus $IPT -A SERVICES -p tcp --dport 7777 -j ACCEPT Į $IPT -A SERVICES -p tcp --dport 7777 -j DROP (taisyklė nesuveikia).

Jeigu iš vis interface taisyklę užkomentinu tada išvis negaliu naudoti kaikurių servisų (mailo,xvnc)

Jei ikėlus interface taisyklę i patį galą po visų taisyklių tada kaip ir suveikia tas DROP.
Kodėl taip?

Paskutinį kartą redagavo srro : 2014-12-20 02:00
Atsakyti su citata
  #5  
Senas 2014-12-23, 14:20
IV_VygandasS avataras
IV_VygandasS IV_VygandasS neprisijungęs
Serverių ekspertas (-ė)
 
Prisiregistravo: 2013 03
Žinutės: 169
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.
Atsakyti su citata
  #6  
Senas 2014-12-23, 23:32
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Citata:
IV_VygandasS rašė Peržiūrėti žinutę
iptables taisyklės yra skaitomos nuo viršaus. T.y. aukščiau esanti taisyklė turi viršenybę prieš žemiau esančią. Taigi, jeigu iš pradžių nurodoma priimti visą srautą ateinantį per venet0 tinklo sąsają, o tuomet bandoma blokuoti tam tikrą prievadą - blokavimas nebus vykdomas.
Tačiau prievadus aš blokuoju/aceptinu nenurodęs interface'o tai reiškia jie visi bus "dropped" visuose interface'uose - venet0, venet0:0 ? O kai pridedu šią rule tai bus viskas aceptina iš "lokalaus" interface'o (127.0.0.1)? O tuo metu kiti dropinti ?

Nes jai interface'o taisykle įmetu čia:

Kodas:
#!/bin/sh
IPT=/sbin/iptables
$IPT -F
#policies
$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
#allowed inputs
$IPT -A INPUT --in-interface venet0 -j ACCEPT
Tuomet -P INPUT DROP neveikia ir interfaceui (išorinis ip) venet0:0 ir viskas "atidaryta" nors taisyklė tik "vidiniam" interfaceui.

Atsiprašau kad tiek klausiu tiesiog niekaip nesuprantu...
Atsakyti su citata
  #7  
Senas 2014-12-29, 09:51
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 648
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?
Atsakyti su citata
  #8  
Senas 2014-12-29, 12:56
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Citata:
IV_RomanL rašė Peržiūrėti žinutę
Patikslinkite prašau, kokio tikslo siekiate naudodami iptables?
Uždrausti visus portus isskyrus šitus + uždrausti pingą ir užmesti visokius syyn flood filtrus.
Atsakyti su citata
  #9  
Senas 2014-12-29, 13:12
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 648
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

https://forumas.dedikuoti.lt/showthread.php?t=508
Atsakyti su citata
  #10  
Senas 2014-12-29, 13:23
srro srro neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 05
Žinutės: 13
Pagrindinis Ats: Delay po IPtables taisykliu įrašymo.

Citata:
IV_RomanL rašė Peržiūrėti žinutę
Tokiu atveju rekomenduočiau pasinaudoti CSF programine įranga:

https://forumas.dedikuoti.lt/showthread.php?t=508
O tuomet iptables disablint visiskai?
Atsakyti su citata
Atsakyti

Temos įrankiai Ieškoti šioje temoje
Ieškoti šioje temoje:

Detali paieška

Žinučių rašymo taisyklės
Jūs negalite kurti naujų temų
Jūs negalite rašyti žinučių
Jūs negalite įkelti failų
Jūs negalite redaguoti savo įrašų

BB kodas yra Įjungtas
Šypsenos yra Įjungtas
[IMG] kodas yra Įjungtas
HTML kodas yra Išjungtas

Greita navigacija

Panašios temos
Tema Temą sukūrė Forumas Atsakymai Paskutinė žinutė
I serveri tik lietuviams iptables. tautwism2 Pagalba 1 2014-03-17 13:44
Iptables hashlimit modulis IV_VygandasS Naujienos, pranešimai 1 2013-09-29 17:31
Trumpalaikis ip blokavimas iptables tautwism2 Pagalba 5 2013-01-17 14:29
Neišsisaugo iptables karaliuss Pagalba 1 2012-12-20 09:57
IPTABLES Ban IP range? MiXFiX Pagalba 3 2012-02-18 20:57


Visi laikai yra GMT +3. Šiuo metu yra 05:39.


Powered by vBulletin®
Copyright ©2000 - 2018, vBulletin Solutions, Inc.