iptables - есть ответ « Вопросы и ответы

Ленивец, 369 просмотров

iptables -P INPUT DROP
iptables -A INPUT -p tcp -m multiport --dports 80 -j ACCEPT
Подключаюсь к серверу по внешнему ip и фаервол меня дропает. Может есть ещё порты, которые надо разрешить?

Примечание:
А разве нельзя блокировать все, кроме определённых соединений?

Примечание:
На сайте http://security.h12.ru/docs/sec-soft/nastroika_firewalla_iptables.htm нашёл ответы на все вопросы

Примечание:
flant, во-первых drop пропускает пакеты и появляется ощущение что компа вообще нет в сети. Reject это переброс, то есть если надо перенаправить, например, с 80-го на 8080-ый порт. Значит лучше дропать. Во-вторых, если ты прошёл по ссылке которую я оставил выше, то ты бы нашёл, что нужно добавить в таблицу, что-бы отталкиваясь от политики "что не разрешено - то запрещено" был доступ в интернет. При чём всего одной строчкой.
Всего у меня заняло три правила:

iptables -A INPUT -p tcp -m multiport --dports 80,20,21,3306 -j ACCEPT - список портов, доступных из внехи (веб-серва, ftp и мускул)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT - разрешаем себе гулять во всезнающем:)
iptables -P INPUT DROP - дропаем всё, что не разрешено явно

Мне этого пока достаточно, потом по надобности буду добавлять правила и расширять свои знания

Лучший ответ мой, так как он отвечает на мой вопрос (сам нашёл, спасибо гуглу), а так как лучший ответ мой - все остальные поломаются - не надо было писать всякую чушь бессмысленную, а вместо этого поднапрячь мозг.

Юрий Чудновский, извини за глупость, но с iptables работаю впервые и очень много не понятно. А если ты такой умный, то мог бы и подсказать, что и как сделать (ну или хотя бы намекнуть или промолчать).

Андрейкаs, спасибо за совет, обязательно отключу, но потом, когда будет не нужен, а сейчас я воздержусь от такой гениальной идеи))

Алкоголик и психопат, то есть мне лучше нагородить тысячи правил и оставить фаервол работать как "дырявое ведро"? Спасибо, но я лучше запрещу все и разрешу только то, что нужно. Так получится на много компактней :)

PS: Кому не понятны правила или у кого есть предложения по их "улучшению", прошу, не пишите это мне - не я их составлял, но изобретать велосипед тоже не хорошо.

Ответы:

потом можешь переходить к более серьезным вещам

разреши все чего уж там ;)

Андрейкаs

Отключи фоервол полностью

Юрий Чудновский

Мало разрешить входящий, нужно ещё и разрешить ответный трафик. multiport вообще тут непонятно зачем.

flant

конечно есть
80 порт это только для браузера инфа, и то не вся
там много разных портов, которые требуются для нормальной работы.
лично я поступил так:
сканер портов nmap - пробей все открытые порты и запрети те, которые не нужны, и лучше не DROP, a REJECT

13 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.