iptables pitanje, zasto se mogu ljudi konektovati na moj apache iako nemam otvoren port 8080

[ burtonium @ 03.08.2004. 09:45 ] @

Cao,

1. ovo mi je konfiguracija iptablesa, input chain, iako nemam otvoren nijedan port, sudeci po nmapu :) Meni moze svako na apachea na 8080 portu.

2. Kako radi iptables, dali primi paketic, pogleda u INPUT tabelu i cim nadje prvi rule za taj paket on ga izvrsi i predje na sledeci rule pa proveri, dalje rule. Ili onaj prvi rule izvede, a ostale ruleve preskoci, jer je paketic vec nasao rule???

Ipables INPUT chain

Code:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  -- !192.168.1.0/24       anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2202
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2202

Hvala unapred svima ...

[ nemesis @ 03.08.2004. 10:14 ] @

a shta mislish o tome da nam prosledish shta si ti ukucao da bi ovo dobio :)
moda se tu krije za*** :)

[ burtonium @ 03.08.2004. 10:21 ] @

Izvinjavam se,

evo koda ....

Code:

#enostavni nostavni Firewall

echo Dolocim parametre...
IP="192.168.1.0/24"
IPT="/sbin/iptables"
OUT="eth0"
IN="eth1"

echo Kernel stvari ce je ena masina mora biti 0!! ...
echo 1 > /proc/sys/net/ipv4/ip_forward

echo Nalozim module...
#skripta fw
#nalozim module
#modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
#tega tudi!
modprobe ip_nat_ftp

echo flush....
#Flush old rules, delete the firewall chain if it exists
$IPT -F
$IPT -F -t nat
$IPT -X

#echo Default pravice ...
#$IPT -P INPUT DROP
#$IPT -P OUTPUT DROP
#$IPT -P FORWARD DROP

echo Statefull Inspection ...
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A PREROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A POSTROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT

echo syn ...
$IPT -A INPUT -s ! 192.168.1.0/24 -p tcp ! --syn -m state --state NEW -j DROP

echo Maskarada...
$IPT -A POSTROUTING -t nat -s $IP -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $OUT -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $IP -j MASQUERADE
$IPT -A FORWARD -i $IN -o $OUT -d 0/0 -j ACCEPT

echo ssh...
$IPT -A INPUT -p tcp --dport 2202 -j ACCEPT

ako ce pomoci ....

tnx unapred ...

[ mrp @ 03.08.2004. 11:33 ] @

Pogleda paket i izvrši nad njim akciju koja je navedena u pravilu, nakon čega ostala pravila za dati chain nemaju uticaja.

[ nemesis @ 03.08.2004. 21:05 ] @

znachi treba chovek da promeni raspored ?

[ burtonium @ 04.08.2004. 00:23 ] @

Jel bitan samo raspored u chainu ili ne?

[ burtonium @ 04.08.2004. 09:47 ] @

Sta ovaj red znaci i malo mi je sumnjiv onaj znak pored tcp, sta on negira???
Ja mislim, da je taj rule kriv za celu gresku?!?

Code:
iptables -A INPUT -s ! 192.168.1.0/24 -p tcp ! --syn -m state --state NEW -j DROP