Deb и iptable

[Spook1680]

Добрый день.
Восновном все работаю с firewall and FreeBSD

Вот черновой вариан шлюза на Деби.
Плиз подкажите где я упустил.
К примеру мне надо закрыть 635 порт

Ниже пример (Делаю проверку а он на внешнем eth1 открыт получатеся)

Код: Выделить всё

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.137.0/24     anywhere            
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere            tcp dpt:635 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.137.0/24     anywhere            
ACCEPT     all  --  anywhere             192.168.137.0/24    



Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

        
debian# netcat -v -w 4 -z IP 1-1023 | grep succeed
77
(UNKNOWN) [7 993 (imaps) open
(UNKNOWN) [7 901 (swat) open
(UNKNOWN) [77 635 (?) open
(UNKNOWN) [77 540 (uucp) open
(UNKNOWN) [77 445 (microsoft-ds) open
(UNKNOWN) [77 143 (imap2) open
(UNKNOWN) [77 139 (netbios-ssn) open
(UNKNOWN) [77 119 (nntp) open
(UNKNOWN) [77 111 (sunrpc) open
(UNKNOWN) [77 110 (pop3) open
(UNKNOWN) [77 79 (finger) open
(UNKNOWN) [77 53 (domain) open
(UNKNOWN) [77 15 (netstat) open
(UNKNOWN) [77 11 (systat) open
(UNKNOWN) [77 1 (tcpmux) open
 

Правила. Почему к примеру тогда 635 не закрыт

Код: Выделить всё

*mangle
:PREROUTING ACCEPT [1650:132426]
:INPUT ACCEPT [1650:132426]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [680:73914]
:POSTROUTING ACCEPT [685:74795]
COMMIT
# Comple
# Gene
*nat
:PREROUTING ACCEPT [85:9272]
:POSTROUTING ACCEPT [7:854]
:OUTPUT ACCEPT [7:854]
-A POSTROUTING -s 192.168.137.0/24 -o eth1 -j SNAT --to-source 77
COMMIT
# Complete
# Genera
*filter
:INPUT DROP [1151:96044]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT DROP [961:138263]
-F INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp --dport 635 -j DROP
-P INPUT DROP
-F FORWARD
-A FORWARD -i eth0 -o eth1 -s 192.168.137.0/24 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -d 192.168.137.0/24 -j ACCEPT
-P FORWARD DROP
-F OUTPUT
-P OUTPUT ACCEPT

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[blade_007]

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
Эти правила применятся ПЕРВЫМИ, дальше просматриваться НЕ будет. Внесите -A INPUT -i eth1 -p tcp --dport 635 -j DROP перед данными привилами, либо укажите явно
-A INPUT -i eth0 -s 192.168.137.0/24 -p tcp --dport ! 635 -j ACCEPT

[ink08]

либо писать

Код: Выделить всё

iptables -I INPUT

конфиг у топикстартера странноват

[Spook1680]

Старно где-то явно не так что то делаю)
Не прокатило
Пробаю к примеру с 139 eth1 это - inet
Вот кусок конфига

*filter
:INPUT DROP [1151:96044]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT DROP [961:138263]
-F INPUT
-A INPUT -i lo -j ACCEPT
-I INPUT -i eth1 -p tcp --dport 139 -j DROP
-I INPUT -i eth1 -p udp --dport 139 -j DROP
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp --destination-port 2743 --syn -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.137.105 -p tcp -m tcp --dport 43237 -j ACCEPT
-P INPUT DROP

Можте я не той командой проверяю)

netcat -v -w 4 -z IP 1-1023 | grep succeed

Вот кусок

993 (imaps) open
901 (swat) open
540 (uucp) open
445 (microsoft-ds) open
143 (imap2) open
139 (netbios-ssn) open

А вот это я не понял. Мы же запрещаем а из этого вроде другое вытекает

либо укажите явно
-A INPUT -i eth0 -s 192.168.137.0/24 -p tcp --dport ! 635 -j ACCEPT

[blade_007]

ключевой знак - ! возле 635
т.е. разрешить все из подсети 192,168,134,0/24 на порты кроме 635

[ink08]

Код: Выделить всё

netcat -v -w 4 -z IP 1-1023 | grep succeed

эту команду на каком хосте запускаете?
если вы его на том же хосте запускаете, то траф пойдет через lo

[Spook1680]

netcat -v -w 4 -z IP 1-1023 | grep succeed

Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)
Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть

[Spook1680]

ключевой знак - ! возле 635
т.е. разрешить все из подсети 192,168,134,0/24 на порты кроме 635

насколько я вехал сканируя порты у меня на внешне открыт 635 139 что ни есть гуд
eth1 внешняя с белы 7.... ip вот и не выходит эту дырочку закрыть).
Внутрении да ок! А вот как быть с внешними.

[ink08]

netcat -v -w 4 -z IP 1-1023 | grep succeed

Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)
Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть

на самом деле порт у вас для внешки уже закрыт

[Spook1680]

netcat -v -w 4 -z IP 1-1023 | grep succeed

Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)
Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть

на самом деле порт у вас для внешки уже закрыт

оооо.
значит тогда man
буд вникать в особенности iptables спасибо