Автор Тема: Используемые порты Debian  (Прочитано 952 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Используемые порты Debian
« : 16 Октябрь 2019, 12:29:55 »
Здравствуйте, настроил iptables, настроил сбрасывание всех входящих соединений, кроме портов ssh и 80, 443. При выполнении команды:

sudo apt update
соответственно нет соединения. Какой порт используется для соединения с репозиториями в Debian? Использовал команду netstat, но она показал только используемые локальные порты.
 


Онлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1983
  • Новосибирск
Re: Используемые порты Debian
« Ответ #1 : 16 Октябрь 2019, 14:54:06 »
лучше iptables-save покажи

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #2 : 16 Октябрь 2019, 15:29:42 »
лучше iptables-save покажи
# Generated by iptables-save v1.6.0 on Wed Oct 16 15:28:06 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1320:252043]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63021 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Wed Oct 16 15:28:06 2019
 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Используемые порты Debian
« Ответ #3 : 16 Октябрь 2019, 17:53:07 »
Не трогайте цепочку OUTPUT. Оставьте ее в  ACCEPT
фильтруйте входящие пакеты по необходимости.
 

Онлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1983
  • Новосибирск
Re: Используемые порты Debian
« Ответ #4 : 16 Октябрь 2019, 18:30:17 »
почитайте примеры как это делается. явно не те правила были прописаны

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #5 : 16 Октябрь 2019, 21:12:37 »
Насколько я понимаю, я закрыл все соединения кроме портов на 63021, 80, 443. Насколько я понимаю, подключение к репозиториям дистрибутива использует же какой-то порт, соединение по которому нужно разрешить. Или как?
 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Используемые порты Debian
« Ответ #6 : 17 Октябрь 2019, 14:11:51 »
Вы пропускаете все входящие tcp пакеты на порты 80, 443, 63021.
 

Оффлайн Листик

  • Местный житель
  • ***
  • Сообщений: 236
Re: Используемые порты Debian
« Ответ #7 : 17 Октябрь 2019, 22:49:41 »
А чего по дефолту не хотите?

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)

Обновления пропускает.
 

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #8 : 19 Октябрь 2019, 11:23:28 »
Добавил правило:

-A OUTPUT -j ACCEPT
всё равно нет соединения с репозиториями дистрибутива. Что я конкретно делаю не так? Думал что нет соединения, потому что я запретил исходящий трафик, теперь разрешил, но подключения нет
 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Используемые порты Debian
« Ответ #9 : 19 Октябрь 2019, 18:39:47 »
Представьте, что Вы соединяетесь с https сервером. С Вашего компьютера, с любого из портов в диапазоне 1024 - 65535 (допустим, 32467) отправляется пакет на порт 443 сервера. Сервер его примет, обработает и ответит: со своего 443 порта на Ваш порт (допустим, тот же 32467) А Вы его не пропускаете:

-A INPUT -p tcp -m tcp --dport 63021 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP

Он у Вас дропается в конце...

Смотрите conntrack --ctsate ESTABLISHED,RELATED
 

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #10 : 20 Октябрь 2019, 09:38:09 »
Поменял немного правила, теперь выглядят так:

# Generated by iptables-save v1.6.0 on Sun Oct 20 09:35:51 2019
*filter
:INPUT DROP [4:160]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42:5720]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63021 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Oct 20 09:35:51 2019

Теперь работают обновления
 

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #11 : 20 Октябрь 2019, 10:21:09 »
Насколько понимаю, на данный момент входящие соединения: INPUT - запрещены: DROP.
Транзитные соединения: FORWARD - разрешены: ACCEPT.
Исходящие соединения: OUTPUT - разрешены: ACCEPT.
Входящие на локальном интерфейсе - разрешены.
Входящие на порты 63021, 80, 443 - разрешены.
Исходящие соединения, которые являются ответами на инициированные мной соединения - разрешены: RELATED. Правило: ESTABLISHED разрешает так же соединения связанные с предыдущими.

Вроде правильно понимаю?
 

Оффлайн sidbar

  • Старожил
  • ****
  • Сообщений: 618
  • Debian 7, lxde
Re: Используемые порты Debian
« Ответ #12 : 20 Октябрь 2019, 20:14:06 »
Поставь nmap на виртуалку.
Политика по умолчанию - запретить все, что не разрешено
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Devuan GNU/Linux 3 (beowulf) i686, LXDE
 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Используемые порты Debian
« Ответ #13 : 20 Октябрь 2019, 20:15:36 »
Да, все верно...
ESTABLISHED для установленных соединений, RELATED - для соединений типа FTP, когда управляющий порт 20,21, а для данных 1024-65535
По негласному правилу пишут так:
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
далее все остальное

использовать нужно модуль -m conntrack, state является устаревшим, его должны в скором времени убрать (обещают, обещают...).
 
Пользователи, которые поблагодарили этот пост: Tinko

Оффлайн Tinko

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 71
Re: Используемые порты Debian
« Ответ #14 : 20 Октябрь 2019, 21:16:27 »
Понял, спасибо
 

Теги: