IPtables a podříznutí větve

[LZ.]

Přihlašuju se na server přes SSH.

V navodu na firewall http://www.root.cz/clanky/stavime-firewall-1/ jsem se dočetl, že chci provest toto:
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -N tcp_segmenty
iptables -A INPUT -p TCP -i eth0 -j tcp_segmenty
iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 25 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 443 -j ACCEPT

Ale nějak se mi to nezda. Podle mě po prvním řádku si uplně zablokuju přistup na server přes net a tedy druhý řádek ani nenapišu, natož abych povolil ten zbytek.

Nějaká rada/připomínka?

[Reklama]

[Fantomas]

Navod je v poradku, ale pokud pri vzdalene sprave spustis v konzoli prvni dva radky, tak ty druhe dva uz asi nezadas. Ve skriptu to normalne funguje.

[Petr Krčmář]

Pochopil jsi to správně, není to dobrý nápad zadávat postupně. U těch pravidel ale záleží na pořadí, takže si uřízneš větev a pak si ji těmi dalšími položkami zase nasadíš. Chce to vložit do skriptu, často jsou na to speciální adresáře. V debianích distribucích se třeba přidávají skripty do /etc/network/if-pre-up.d/. Zavedou se pak automaticky při startu síťového rozhraní. Pokud si tam ten skript dáš teď, stačí pak zavolat:

# /etc/init.d/networking restart

[rob]

Pro budouci hratky s fw na vzdalenem serveru doporucuji

Kód: [Vybrat]

man iptables-apply

[PeBo]

Tak zadej nejdřív pravidla (iptables -A) a policy (iptables -P) nech na ACCEPT. Pomocí iptables -L -v zjistíš, zda nějaký provoz nespadne do policy (jsou tam čítače paketů/bajtů) a pak můžeš nastavit policy na DROP.

[Reklama]

[LZ.]

Vyřešil jsem to pomoci

Kód: [Vybrat]

iptables -A INPUT -j DROPna konci.
Policy jsem nechal na ACCEPT, takže i když tam bude někdo řádit s gumou, pořád to pujde ještě opravit.