настройка IPTABLES

Автор zotac, 29 января 2015, 11:00:31

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

zotac

Подскажите пожалуйста для интерфейса loopback это корректная строка в IP Tables?
Вставлял ее таким правилом:
IPTABLES -A INPUT -i lo -j ACCEPT

Есть подозрение, что оно некорректно отрабатывает и пускает вообще весь трафик на любой порт по любому протоколу судя по таблице внизу:

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5225 state NEW limit: up to 1/hour burst 2 mode srcip htable-expire 60000
DROP       tcp  --  anywhere             anywhere             tcp dpt:5225flags: SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5225
ACCEPT     all  --  anywhere             anywhere

Yrii

лучше так:
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

zotac

#2
Меня смутило то, что я поменял порт на HTTP на нестандартный а в IPTABLEs забыл его открыть (там остался 80), но по прежнему после перезагрузки сервака и проверки правил (сохранились) я легко могу зайти извне на phpmyadmin по нестандартному порту.
Вот полная цепочка INPUT, в чем может быть дело?


Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5225 state NEW limit: up to 1/hour burst 2 mode srcip htable-expire 60000
DROP       tcp  --  anywhere             anywhere             tcp dpt:5225flags: SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5225
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
DROP       icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https

ACCEPT     udp  --  anywhere             anywhere             udp dpt:6123
ACCEPT     udp  --  anywhere             anywhere             udp dpt:tftp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
ACCEPT     udp  --  anywhere             anywhere             udp dpts:10000:20000
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 10/sec burst 5
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED



Сообщение объединено: 29 Январь 2015, 11:38:59

Вот ответ online сканера портов (сканировал с сайта), интересуют порты выделенные жирным, я ведь их не открывал. откуда они?

Not shown: 997 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
1720/tcp open  H.323/Q.93
1
5225/tcp open  unknown
Nmap done: 1 IP address (1 host up) scanned in 1005.62 seconds

Сообщение объединено: 29 января 2015, 11:58:09

А вот еще один, и с этим вопрос, как сказать SSH чтобы он не рассказывал всем о версии ОС?


Nmap scan report for  (Хост)
Host is up (0.022s latency).
Not shown: 44 filtered ports

PORT STATE SERVICE VERSION
5200/tcp closed targus-getdata
5201/tcp closed targus-getdata1
5213/tcp closed unknown
5224/tcp closed unknown
5225/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0)
5234/tcp closed eenet
5249/tcp closed unknown

Device type: general purpose|WAP
Running (JUST GUESSING): Linux 2.4.X|2.6.X (85%), Asus Linux 2.6.X (85%), HP embedded (85%)
OS CPE: cpe:/o:linux:kernel:2.4.26 cpe:/h:asus:rt-n16 cpe:/o:asus:linux:2.6 cpe:/o:linux:kernel:2.6.18 cpe:/o:linux:kernel:2.6.22

Aggressive OS guesses: Linux 2.4.26 (Slackware 10.0.0) (85%), Asus RT-N16 WAP (Linux 2.6) (85%), HP ProCurve MSM422 WAP (85%), Linux 2.4.21 - 2.4.25 (embedded) (85%), Linux 2.6.18 (ClarkConnect 4.3 Enterprise Edition) (85%), Linux 2.6.24 - 2.6.26 (Debian) (85%), Linux 2.6.32 (85%), Tomato 1.28 (Linux 2.6.22) (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 7 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel

zarguni

ЦитироватьВот полная цепочка INPUT, в чем может быть дело?
Смотрите более информативный вывод:
# iptables -L -n -v

ЦитироватьВот ответ online сканера портов (сканировал с сайта), интересуют порты выделенные жирным, я ведь их не открывал. откуда они?
Их открыли программы, запущенные на сервере. Смотрите ss (netstat).

ЦитироватьА вот еще один, и с этим вопрос, как сказать SSH чтобы он не рассказывал всем о версии ОС?
http://www.openssh.com/faq.html#2.14
Есть где-то патчи, чтобы ssh не сообщал номер версии. Но вопросы безопасности это не решает.