forum.lissyara.su

Добавлено: **2010-12-26 14:18:24**

Добрый день.
Восновном все работаю с firewall and FreeBSD

Вот черновой вариан шлюза на Деби.
Плиз подкажите где я упустил.
К примеру мне надо закрыть 635 порт

Ниже пример (Делаю проверку а он на внешнем eth1 открыт получатеся)

Код: Выделить всё

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.137.0/24     anywhere            
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere            tcp dpt:635 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.137.0/24     anywhere            
ACCEPT     all  --  anywhere             192.168.137.0/24    



Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

        
debian# netcat -v -w 4 -z IP 1-1023 | grep succeed
77
(UNKNOWN) [7 993 (imaps) open
(UNKNOWN) [7 901 (swat) open
(UNKNOWN) [77 635 (?) open
(UNKNOWN) [77 540 (uucp) open
(UNKNOWN) [77 445 (microsoft-ds) open
(UNKNOWN) [77 143 (imap2) open
(UNKNOWN) [77 139 (netbios-ssn) open
(UNKNOWN) [77 119 (nntp) open
(UNKNOWN) [77 111 (sunrpc) open
(UNKNOWN) [77 110 (pop3) open
(UNKNOWN) [77 79 (finger) open
(UNKNOWN) [77 53 (domain) open
(UNKNOWN) [77 15 (netstat) open
(UNKNOWN) [77 11 (systat) open
(UNKNOWN) [77 1 (tcpmux) open

Правила. Почему к примеру тогда 635 не закрыт

Код: Выделить всё

*mangle
:PREROUTING ACCEPT [1650:132426]
:INPUT ACCEPT [1650:132426]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [680:73914]
:POSTROUTING ACCEPT [685:74795]
COMMIT
# Comple
# Gene
*nat
:PREROUTING ACCEPT [85:9272]
:POSTROUTING ACCEPT [7:854]
:OUTPUT ACCEPT [7:854]
-A POSTROUTING -s 192.168.137.0/24 -o eth1 -j SNAT --to-source 77
COMMIT
# Complete
# Genera
*filter
:INPUT DROP [1151:96044]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT DROP [961:138263]
-F INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp --dport 635 -j DROP
-P INPUT DROP
-F FORWARD
-A FORWARD -i eth0 -o eth1 -s 192.168.137.0/24 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -d 192.168.137.0/24 -j ACCEPT
-P FORWARD DROP
-F OUTPUT
-P OUTPUT ACCEPT

Добавлено: **2010-12-26 22:40:28**

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
Эти правила применятся ПЕРВЫМИ, дальше просматриваться НЕ будет. Внесите -A INPUT -i eth1 -p tcp --dport 635 -j DROP перед данными привилами, либо укажите явно
-A INPUT -i eth0 -s 192.168.137.0/24 -p tcp --dport ! 635 -j ACCEPT

Добавлено: **2010-12-27 3:03:13**

либо писать

Код: Выделить всё

iptables -I INPUT

конфиг у топикстартера странноват

Добавлено: **2010-12-27 13:33:57**

Старно где-то явно не так что то делаю)
Не прокатило
Пробаю к примеру с 139 eth1 это - inet
Вот кусок конфига

*filter
:INPUT DROP [1151:96044]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT DROP [961:138263]
-F INPUT
-A INPUT -i lo -j ACCEPT
-I INPUT -i eth1 -p tcp --dport 139 -j DROP
-I INPUT -i eth1 -p udp --dport 139 -j DROP
-A INPUT -i eth0 -s 192.168.137.0/24 -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp --destination-port 2743 --syn -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.137.105 -p tcp -m tcp --dport 43237 -j ACCEPT
-P INPUT DROP

Можте я не той командой проверяю)

netcat -v -w 4 -z IP 1-1023 | grep succeed

Вот кусок

993 (imaps) open
901 (swat) open
540 (uucp) open
445 (microsoft-ds) open
143 (imap2) open
139 (netbios-ssn) open

А вот это я не понял. Мы же запрещаем а из этого вроде другое вытекает

либо укажите явно
-A INPUT -i eth0 -s 192.168.137.0/24 -p tcp --dport ! 635 -j ACCEPT

Добавлено: **2010-12-27 15:05:17**

ключевой знак - ! возле 635
т.е. разрешить все из подсети 192,168,134,0/24 на порты кроме 635

Добавлено: **2010-12-27 15:06:58**

Код: Выделить всё

netcat -v -w 4 -z IP 1-1023 | grep succeed

эту команду на каком хосте запускаете?
если вы его на том же хосте запускаете, то траф пойдет через lo

Добавлено: **2010-12-27 15:33:50**

netcat -v -w 4 -z IP 1-1023 | grep succeed

Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)

Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть

Добавлено: **2010-12-27 15:40:39**

blade_007 писал(а):ключевой знак - ! возле 635
т.е. разрешить все из подсети 192,168,134,0/24 на порты кроме 635

насколько я вехал сканируя порты у меня на внешне открыт 635 139 что ни есть гуд
eth1 внешняя с белы 7.... ip вот и не выходит эту дырочку закрыть).
Внутрении да ок! А вот как быть с внешними.

Добавлено: **2010-12-27 18:40:21**

Spook1680 писал(а):
netcat -v -w 4 -z IP 1-1023 | grep succeed
Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)
Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть

на самом деле порт у вас для внешки уже закрыт

Добавлено: **2010-12-27 20:24:24**

ink08 писал(а):
Spook1680 писал(а):
netcat -v -w 4 -z IP 1-1023 | grep succeed
Это запускаю на самом шлюзу с ip белым (берем инет от провайдера eth1)
Порты открыты получаются на внешнем к примеру 139.
Вот я его и хочу закрыть
на самом деле порт у вас для внешки уже закрыт

оооо.
значит тогда man
буд вникать в особенности iptables спасибо

forum.lissyara.su

Deb и iptable

Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable

Re: Deb и iptable