Frozen Fido : RU.LINUX : Re: Продолжаем пляски с iptables

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     04 Aug 2004  13:03:09
 To : Ivan Poplavsky
 Subject : Re: Продолжаем пляски с iptables
 --------------------------------------------------------------------------------

 Ivan Poplavsky wrote:
 
 > Hello, All!
 > 
 > Пишем:
 > iptables -P INPUT DROP
 > iptables -P OUTPUT DROP
 > iptables -P FORWARD DROP
 > 
 > iptables -A INPUT -i eth0 -p tcp -d x.y.z.xx --dport 22 -j ACCEPT
 > iptables -A OUTPUT -o eth0 -p tcp -s x.y.z.xx --sport 22 -j ACCEPT
 > Hаблюдаю, что счётчики крутятся только в цепочке OUTPUT. В INPUT - глухо.
 
 Это бред.
 
 server:~ # rcfw status | grep 22 | grep ACCEPT | grep "^[[:digit:]]"
 17  0 0 ACCEPT  tcp  --  *   *    0.0.0.0/0    10.0.0.1      tcp dpt:22
 17  0 0 ACCEPT  tcp  --  *   *    0.0.0.0/0    83.xxx.xx.xxx tcp dpt:22
 server:~ #
 
 Вот акцептовая цепочка -p tcp -d 83.xxx.xx.xxx --dport 22.
 
 Логинимся куда-нибудь и затем обратно
 
 alekseybb@server:~> w | grep 22
 alekseyb pts/22    12:45    0.00s  0.56s  0.05s w
 alekseybb@server:~>
 
 Смотрим счетчики
 
 server:~ # rcfw status | grep 22 | grep ACCEPT | grep "^[[:digit:]]"
 17  0 0 ACCEPT  tcp  --  *   *    0.0.0.0/0    10.0.0.1      tcp dpt:22
 17  1 60 ACCEPT tcp  --  *   *    0.0.0.0/0    83.xxx.xx.xxx tcp dpt:22
 server:~ #
 
 Здесь пакет 1 потому, что далее все остальные идут по другому правилу, как
 эстэблишед.
 
 > 
 > Пишем:
 > iptables -A OUTPUT -o eth0 -p tcp -s x.y.z.xx --dport 22 -j ACCEPT
 > iptables -A INPUT -i eth0 -p tcp -d x.y.z.xx --sport 22 -j ACCEPT
 > Эти работают.
 > 
 > Hу что я не так делаю?
 > Почему ко мне на машину по SSH залогиниться можно, а я никуда не могу?
 
 man tcp/ip
 
 Как наводку могу подсказать подумать, как происходит tcp соединение, если
 некоторый слушатель изначально живет на 22 порту и к нему обращается
 удаленный клиент. С какого порта идет обращение к порту 22, на какой порт
 идет ответ с порта 22.
 
 И уже не в качестве подсказки, а с точки зрения правильной методики работы.
 
 Hе используйте политики фильтровых цепочек. Пользуйтесь явными дропами со
 счетчиками. Это позволит засекать пути по которым проходят пакеты.
 -- 
 Bye.
 Aleksey Barabanov <alekseybb at mail.ru>
 --- ifmail v.2.15dev5.3
  * Origin: home (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Продолжаем пляски с iptables	Ivan Poplavsky	04 Aug 2004 11:30:25
Re: Продолжаем пляски с iptables	Alexey Pilyugin	04 Aug 2004 12:56:23
Re: Продолжаем пляски с iptables	Aleksey Barabanov	04 Aug 2004 13:03:09
Re: Продолжаем пляски с iptables	Vlad Chervony	04 Aug 2004 23:25:38

Архивное /ru.linux/18529d69f3cc6.html, оценка 2 из 5, голосов 10