The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Не применяютя правила в ipchains"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(??) on 07-Сен-05, 15:55  (MSK)
Почему-то правила в фаерволе не применяются. Например есть процесс, слушающий порт 1080. В фаерволе этот порт закрыт, но если процесс активен, соединение по порту 1080 все равно происходит. Почему так происходит?
Привожу текст файла \etc\sysconfig\ipchains:

:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 194.186.104.1/255.255.255.255 53:53 -d 0.0.0.0/0.0.0.0 1025:65535 -p
17 -j ACCEPT
-A input -s 194.186.106.246/255.255.255.255 53:53 -d 0.0.0.0/0.0.0.0 1025:65535
-p 17 -j ACCEPT
-A forward -i eth2 -s 192.168.168.0/24 -j MASQ
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 30:30 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 50:50 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 150:150 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 100:100 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 143:143 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 81:81 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1966:1966 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1966:1966 -p 17 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3128:3128 -p 6  -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3128:3128 -p 17 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3389:3389 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3389:3389 -p 17 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4899:4899 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4899:4899 -p 17 -  ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 6  -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 17 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 17 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7101:65535 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7101:65535 -p 17 -j REJECT -y

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Не применяютя правила в ipchains" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 07-Сен-05, 16:04  (MSK)
Потому, что политика
:input ACCEPT
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Не применяютя правила в ipchains" 
Сообщение от bromantik emailИскать по авторуВ закладки(??) on 07-Сен-05, 16:04  (MSK)
Сразу бросаются в глаза умолчательные значения
>:input ACCEPT
>:forward ACCEPT
>:output ACCEPT

А учитывая, что запрещающего правила для коннекта на 1080 нет, то все правильно, 1080-открыт...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(??) on 07-Сен-05, 16:18  (MSK)
>Сразу бросаются в глаза умолчательные значения
>>:input ACCEPT
>>:forward ACCEPT
>>:output ACCEPT
>
>А учитывая, что запрещающего правила для коннекта на 1080 нет, то все
>правильно, 1080-открыт...

Как это нет???????
А это:
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 17 -j REJECT -y

?????

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Не применяютя правила в ipchains" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 07-Сен-05, 16:33  (MSK)
>>Сразу бросаются в глаза умолчательные значения >-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 17 -j REJECT -y
Бред. У UDP нет флага SYN.
Покажите, что у Вас реально в системе ipchains -nL.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(??) on 07-Сен-05, 18:05  (MSK)
>Покажите, что у Вас реально в системе ipchains -nL.

hain input (policy ACCEPT: 404605 packets, 264382923 bytes):
pkts bytes target     prot opt    tosa tosx  ifname     mark       outsize  sou
rce                destination           ports
    5   779 ACCEPT     udp  ------ 0xFF 0x00  any                            ns1
.cherepovets.net  anywhere              domain ->   1025:65535
2030  357K ACCEPT     udp  ------ 0xFF 0x00  any                            ns.
cherepovets.net   anywhere              domain ->   1025:65535
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            ns1
.meta.net.ru      anywhere              domain ->   1025:65535
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            ns.
metacom.ru        anywhere              domain ->   1025:65535
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   smtp
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   30
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   re-mail-ck
    1    48 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   pop3
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   150
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   100
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   imap
  289 13920 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   http
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   81
    4   192 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   ftp
  978 58632 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   ssh
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   1966
Chain forward (policy ACCEPT: 280 packets, 15441 bytes):
pkts bytes target     prot opt    tosa tosx  ifname     mark       outsize  sou
rce                destination           ports
181K  249M MASQ       all  ------ 0xFF 0x00  eth2                           192
.168.168.0/24     anywhere              n/a
Chain output (policy ACCEPT: 385877 packets, 263189967 bytes):

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Не применяютя правила в ipchains" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 08-Сен-05, 08:38  (MSK)
И где здесь хоть один REJECT?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(??) on 08-Сен-05, 14:33  (MSK)
>И где здесь хоть один REJECT?

Да вижу я , что REJECTа нет! Но почему? Что, правила неправильные, что они не применяются? Если нет, то что?

Видно, что применяются только правила до строчки
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1966:1966 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1966:1966 -p 17 -j ACCEPT -y

А дальше просто не применяется... Но в чем причина?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Не применяютя правила в ipchains" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 08-Сен-05, 14:44  (MSK)
>А дальше просто не применяется... Но в чем причина?
Повторяю для тех, кто в танке. У UDP нет флага SYN.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(ok) on 08-Сен-05, 16:21  (MSK)
>>А дальше просто не применяется... Но в чем причина?
>Повторяю для тех, кто в танке. У UDP нет флага SYN.

Теперь понял. Надо было убрать -у для 17 протокола.
Но опять же, почему теперь так:
Chain input (policy ACCEPT: 2178 packets, 718376 bytes):
pkts bytes target     prot opt    tosa tosx  ifname     mark       outsize  sou
rce                destination           ports
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            ns1
.cherepovets.net  anywhere              domain ->   1025:65535
    2   310 ACCEPT     udp  ------ 0xFF 0x00  any                            ns.
cherepovets.net   anywhere              domain ->   1025:65535
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            ns1
.meta.net.ru      anywhere              domain ->   1025:65535
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            ns.
metacom.ru        anywhere              domain ->   1025:65535
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   smtp
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   30
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   re-mail-ck
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   pop3
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   150
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   100
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   imap
    2    96 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   http
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   81
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   ftp
    4   192 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   ssh
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   1966
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            any
where             anywhere              any ->   1966
   55  2640 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   squid
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            any
where             anywhere              any ->   3128
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   3389
    0     0 ACCEPT     udp  ------ 0xFF 0x00  any                            any
where             anywhere              any ->   3389
    0     0 ACCEPT     tcp  -y---- 0xFF 0x00  any                            any
where             anywhere              any ->   4899
Chain forward (policy ACCEPT: 0 packets, 0 bytes):
pkts bytes target     prot opt    tosa tosx  ifname     mark       outsize  sou
rce                destination           ports
   71 11224 MASQ       all  ------ 0xFF 0x00  eth2                           192
.168.168.0/24     anywhere              n/a


Не вижу вот этого:
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 6  -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 17 -j ACCEPT

Внизу есть строчки:
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 6  -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6667:6667 -p 17 -j ACCEPT  
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1024:7100 -p 17 -j REJECT  
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7101:65535 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7101:65535 -p 17 -j REJECT

????

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Не применяютя правила в ipchains" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 08-Сен-05, 16:49  (MSK)
Потому, что Вы написали "-" вместо "-j"
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4899:4899 -p 17 -  ACCEPT
Может достаточно?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Не применяютя правила в ipchains" 
Сообщение от Strangerr emailИскать по авторуВ закладки(ok) on 09-Сен-05, 09:31  (MSK)
>Потому, что Вы написали "-" вместо "-j"
>-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4899:4899 -p 17 -  ACCEPT
>
>Может достаточно?


Извините за невнимательность. Все, разобрался, спасибо.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Не применяютя правила в ipchains" 
Сообщение от Strangerr Искать по авторуВ закладки(ok) on 11-Сен-05, 15:46  (MSK)
Появился еще вопрос, связанный с предыдующим. Порты-то я закрыл все ненужные, но теперь почему-то не открываются все фтп! Хотя 21 порт открыт! В чем причина?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру