iptables -A za 8080

[ mrki @ 01.11.2005. 15:07 ] @

Mislim kad napišem jedno 20tak redova, pa pritisnem back...LUDILO...ode ceo sadržaj...ovo mi se zaista nije desilo prvi put ;( dakle još jedno ali samo u 2 reda:

treba mi pravilo da pustim sav tcp prema 8080

iptables -A INPUT -p tcp --dport 8080

dali je ovo OK

možda neki drugi predlog, kvalitetnije rešenje
hvala

[ Tyler Durden @ 02.11.2005. 10:09 ] @

fali ti sta da se uradi sa paketima koji idu na taj port, znaci
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

[ mrki @ 02.11.2005. 11:13 ] @

Da, da...primetih to kasnije, al zaboravih da izmenim poruku...problem je resen ;)

Ajd da ne otvaram jos jedan topic:

Ako definisem sva potrebna pravila pa zavrsim sa posledjim:

Code:
/sbin/iptables -A block -j DROP

"drop all network packets that don't pass the rules that have been defined so far"

i sad bih kao u ovom mom slucaju jos da dodam odnosno definisem i pravilo za tcp na 8080 jer nije definisano eksplicitno iznad poslednjeg (DROP)

Code:
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

Pitanje: dali bi i ovo poslednje pravilo trebalo da se konsultuje pre nego sto se paket odbaci? U mom slucaju paket je odbacen tako da sam za sada morao ukloniti DROP pravilo...naravno, cim pre cu da izmenim redosled i vratim DROP pravilo ;) prosto me interesuje ova situacija, iskustva?

[ Tyler Durden @ 02.11.2005. 11:57 ] @

Najprije mu zadas u svojoj skripti da dropuje sve pakete i onda polako jednim po jednim pravilom dodajes one koji treba da puste ovo ili ono

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

zatim

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

itd..

Ovo je malo uprosceno. Bilo bi dobro da procitas http://www.interec.com/tutoriales/manuales/iptables.phtml
Ima dosta za citanje, ali je sve super objasnjeno.

Ako se ne varam to pravilo "drop sve ostalo" mora da bude posljednje u nizu..

Kod mene stoji npr.
-A INPUT -j REJECT --reject-with icmp-port-unreachable

[ Mitrović Srđan @ 02.11.2005. 14:03 ] @

ili na nasem:
http://phearless.headcoders.net/i2/Hiding_Behind_Firewall.txt

[ simor @ 02.11.2005. 15:35 ] @

Mislim da znam sta hoces da kazes, da ti bude sve zabranjeno sem saobracaja na port 8080 i 22 (verovatno proxy i ssh).

Prvo dozvolis sa:

Code:
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

pa zabranis sa:

Code:
/sbin/iptables -A block -j DROP

znaci taj redosled, sta god da "block" bilo :) obrnuto nece

[ mrki @ 02.11.2005. 17:34 ] @

Ovde je izgleda postala navika da kad se nesto postuje ljudi oma apeluju na howto-ove, manuale itd.

Citat:

Mislim da znam sta hoces da kazes, da ti bude sve zabranjeno sem saobracaja na port 8080 i 22 (verovatno proxy i ssh).

Bas tako.
Odnosno sve servise koje zelim staviti na raspolaganje, a ima ih naravno jos

svi ostali upiti ili ti sta vec: DROP!

Citat:

znaci taj redosled, sta god da "block" bilo

obrnuto nece

Tako se i pokazalo u mome slucaju, mada mi je to malo ne logicno jer se navodno konsultuju sva pravila pa se onda odlucuje sta sa 'paketom'.

[ Marko_R @ 02.11.2005. 20:20 ] @

A koji vam je to lanac "block"?

Politiku lanca određuješ sa -P, znači kao što je rekao Tyler.

[ Tyler Durden @ 03.11.2005. 08:14 ] @

Citat:

Ovde je izgleda postala navika da kad se nesto postuje ljudi oma apeluju na howto-ove, manuale itd

Mozda, ali vidis na ovom linku koliki je sadrzaj i steta je da se pausalno predje preko te dosta bitne teme, a niko ne moze da ti sve to objasni ovdje u par postova.

I mene zanima taj 'block' lanac? Jel to nesto custom?