Skocz do zawartości


 

Zdjęcie

Konfiguracja iptables

Konfiguracja iptables konfiguracja iptables

  • Proszę się zalogować aby odpowiedzieć
7 odpowiedzi na ten temat

Konfiguracja iptables

#1 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 98 postów

Napisany 06 wrzesień 2017 - 20:53

Witam, mam taka konfiguracje iptables, chce zeby odblokowane byly porty tylko ssh i pptp, ssh dziala natomiast vpn nie...


sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT



sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p gre -j ACCEPT

# Allow localhost traffic
sudo iptables -A INPUT -i lo   -m state --state NEW  -j ACCEPT
sudo iptables -A OUTPUT -o lo   -m state --state NEW  -j ACCEPT

# Allow server and internal network to go anyway
sudo iptables -A INPUT  -s 10.0.0.0/24   -m state --state NEW  -j ACCEPT
sudo iptables -A INPUT  -s 199.101.100.10   -m state --state NEW  -j ACCEPT
sudo iptables -A OUTPUT  -m state --state NEW  -j ACCEPT



sudo iptables-save

Podpowie ktoś co robię źle?


  • 0

#2 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 06 wrzesień 2017 - 20:57

Przeanalizuj reguły na OUTPUT. Nie pamiętam po jakim porcie lata pptp i nie bardzo chce mi się za tym grzebać.


  • 0

#3 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 98 postów

Napisany 06 wrzesień 2017 - 23:51

U mnie lata na 100% na tym porcie: 1723


  • 0

#4 Vasthi

Vasthi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 650 postów

Napisany 07 wrzesień 2017 - 06:49

Przy pptp to 1723 czasem nie służy na inicjację połączenia?
Wyłącz firewall, połączą się do vpn i zobacz na jakich portach lata ruch.
  • 0

#5 furek

furek

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 426 postów
  • Skąd:Koszalin
  • Imię:Tomasz
  • Nazwisko:G

Napisany 07 wrzesień 2017 - 08:14

Przede wszystkim zmień protokół na bardziej bezpieczny.


  • 0

#6 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 98 postów

Napisany 07 wrzesień 2017 - 10:56

Ruch jest na pewno na porcie 1723, przy takiej konfiguracji ssh mam otwarte, ale 1723 juz nie, co robię źle?

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT


iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --sport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT



sudo iptables-save


Jeszcze iptables -L:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723 state NEW
ACCEPT     all  --  10.0.0.0/8           anywhere            
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723 state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:1723
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:1723
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:1723
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:1723

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  192.168.2.0/24       anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh state ESTABLISHED
ACCEPT     gre  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723


Edytowany przez miras, 07 wrzesień 2017 - 11:00.

  • 0

#7 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 07 wrzesień 2017 - 11:24

 

Ruch jest na pewno na porcie 1723, przy takiej konfiguracji ssh mam otwarte, ale 1723 juz nie, co robię źle?

W którą stronę? Przeanalizowałeś swoje reguły na OUTPUT jak pisałem?

Podpowiedział Ci już Vasthi co masz zrobić. Zatem zastosuj się do wskazówki i po zestawieniu połączenia sprawdź, które porty są w użyciu przez VPNa.


  • 0

#8 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 98 postów

Napisany 07 wrzesień 2017 - 11:25

Nawet jeżeli port 1723 służy do inicjowania połączenia to i tak musi być otwarty, a niestety nie jest, wypadałoby zaczać chyba od otwarcia tego portu...


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: konfiguracja, iptables

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników