iptables DROP na konkretny port z wyjątkami - problem gametracker

[Gość Filip Nowacki]

Więc od początku...

Potrzebowałem zabezpieczyć port query serwera ts3: 10011 więc w iptables wrzuciłem wyjątki od gametrackera, które podają tj:

-A INPUT -s 208.167.241.190/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 208.167.241.185/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 208.167.241.186/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 208.167.241.183/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 208.167.241.189/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 108.61.78.147/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 108.61.78.148/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 108.61.78.149/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 108.61.78.150/32 -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT

a następnie:

-A INPUT -p tcp -m tcp --dport 10011 -j DROP

Problem w tym, że przy czystym iptables gametracker wykrywa serwer online bez problemu, z dodanymi wyjątkami już nie. Na stronie gametrackera:

 

 

• Your server is firewalled.
  Please turn off any firewall you have that may block scanning or whitelist the gametracker scanning IP addresses:

  208.167.241.190

  208.167.241.185

  208.167.241.186

  208.167.241.183

  208.167.241.189

  108.61.78.147

  108.61.78.148

  108.61.78.149

  108.61.78.150

Przy wyjątku mojego IP mogę bez problemu się logować. Tcpdump nie wskazuje by przy przepuszczonym ruchu wyskakiwało inne IP.

 

Z góry dzięki za pomoc!

[Gość Spoofy]

Sprawdź czy może po udp pójdzie ;-)
np.

-A INPUT -s 208.167.241.190/32 -i eth0 -p udp -m udp --dport 10011 -j ACCEPT

[Gość Filip Nowacki]

Dodałem te 9 IP w udp i nadal to samo

[Gość Spoofy]

jednak po udp nie idzie komunikacja. Pokaż całą konfigurację iptables.

[Gość Kamikadze]

Po udp chyba jest zwykły port a 10011 po tcp?

 

Możesz spróbować odblokować porty i spróbować monitorować ruch z gametrackera (z ich konkretnych IP).

 

P.S.

Serwer był już dodany do gametrackera? Masz możliwość normalnego monitorowania i czy IP GT są na whiteliscie?

[Pan Kot 1535]

10011 jest TCP IN.

 

Po pierwsze sprawdź czy eth0 to prawidłowy interfejs, ifconfig ci powie.

 

Po drugie -A to jest append, czyli dopisanie na końcu. Jest jeszcze -I, czyli insert, dopisanie na określonej pozycji. Iptables działa priorytetowo, czyli szuka dla pakietu regułki, w którą wpada, i realizuje akcje oznaczoną przez -j, po czym nie sprawdza dalszych regułek. Jeśli żadna regułka nie pasuje, aplikowana jest defaultowa polityka. Tak więc, jeśli sobie zrobiłeś na ostatniej regułce drop wszystkiego, to jak się już powinieneś domyślać, zappendowanie czegokolwiek po takiej regułce jest bez sensu, bo nic nigdy do niej nie wpadnie.

 

Po trzecie - nie wiem po jaką cholerę aplikujesz tutaj switch -m, odsyłam do manuala bo chyba zrobiłeś ctrl c z jakiegoś miernego poradnika osoby, która ją przekopiowała z innego miernego poradnika, i tak to sobie kursuje.

 

iptables -L ci powie więcej.

 

A na zakończenie, to pewno nie dodałeś wszystkich IP gametrackera, a skan leci z któregoś, który nie jest podany.

 

tcp|in|d=10011|s=208.167.241.190

tcp|in|d=10011|s=208.167.241.185

tcp|in|d=10011|s=208.167.241.186

tcp|in|d=10011|s=208.167.241.183

tcp|in|d=10011|s=208.167.241.182

tcp|in|d=10011|s=208.167.241.189

tcp|in|d=10011|s=108.61.78.147

tcp|in|d=10011|s=108.61.78.148

tcp|in|d=10011|s=108.61.78.149

tcp|in|d=10011|s=108.61.78.150

 

Podziękuj, bo to prosto z mojej piaskownicy.

 

Edytowano Maj 4, 2015 przez Archi (zobacz historię edycji)

[Gość Filip Nowacki]

@Archi wielkie dzięki!