IPtables ignoruje pravidla. Je to mozne?>je

Sekcia: Konfigurácia 17.12.2007 | 23:17
Avatar stano170 Gentoo  Používateľ
mam PC a NB.. skusam take pokusy a na PC som si dal bind9 a spojazdnil DNS(mam verejnu a DNS mi funguje aj z vonku). Kedze si pridavam postupne pravidla do FW tak som chcel vediet ze ked zakazem port 53 (dns) ci ho skutocne blokne a nepojdu stranky z ineho PC.
Nebudem tu vypisovat aky mam FW konfiguraciu ale v skratke.. vsetko mam zakazane len to co chem do PC pustit mam povolene. Ziadne stavove pravidla nemam.Proste vsetko zakazane a povolujem len konkretne porty. A v tom je problem ze som chcem odstavit port 53 a kedze to najlepsie vyskusam z druheho PC tak na NB som si nastavil ako dns server svoj PC a skusal som.. ked vyhodim z tabulky pravidlo ktore povoluje 53 tak to ide.. a nemalo by lebo default politika je zakaz vsetko co nieje povolene.. potom som skusil napisat naj DROPne 53 a este pre istotu aj rozsah 0-1024.Samozrejme aby to bolo 100% tak aj --sport aj --dport tcp/udp. Ale z NB som veselo isiel dalej.. tak som uplne setko zmazal a nastavil tam
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
a stranky sli veselo dalej.. svoju lokalnu komunikaciu na PC na ktorom bezi bind9 som sice uplne odstavil ale z ineho PC veselo poziadavky primal dalej a tvaril sa akoby ziadny FW tam nebol.
ces nmap som takisto skusal pozerat na porty a vsetky tcu/udp som mal zatvorene.. respektive filtred.
iptables -L takisto hlasilo ze vsetk oje DROP

tu 53 som odstavil JEDINE tak ze som zadal pravidlo
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j DROP

Toto us zastavilo komunikaciu ..
Ale pointa je v tom ze co vlastne roby ta default politika ked vidim ze neroby nic..Co to je za FW toto. Je to normalne?
Ten zakaz 53 som riesil LEN koli tomu aby som overil funkcnost netfiltra nic ine.

V pripade ze by ste predsa len potrebovali vypis iptables tak ju tu hodim.
PS. nepouzivam ziadnu fraf. nadstavbu.. klasika iptables a konzola..
< GENTOO FOREVER >
    • Re: IPtables ignoruje pravidla. Je to mozne?>je 18.12.2007 | 00:33
      fckr   Návštevník
      Vsetkym funguje len tebe nie? :) Hladal by som problem na druhom PC ci nemalo nastavene sekundarne DNS alebo nepouzivalo proxy.
    • Re: IPtables ignoruje pravidla. Je to mozne?>je 18.12.2007 | 09:25
      Avatar kvaso kubuntu, debian  Používateľ
      mno spravil som taký malý testík:
      PC:
      $ cat /etc/resolv.conf
      nameserver 10.10.0.100
      #nameserver 195.146.128.60
      #nameserver 195.146.132.59

      BINDserver:
      # iptables -L
      Chain INPUT (policy ACCEPT)
      target prot opt source destination

      Chain FORWARD (policy ACCEPT)
      target prot opt source destination

      Chain OUTPUT (policy ACCEPT)
      target prot opt source destination

      Výsledok na PC:
      $ dig www.google.sk

      ; <<>> DiG 9.3.4 <<>> www.google.sk
      ;; global options: printcmd
      ;; Got answer:
      ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49862
      ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

      ;; QUESTION SECTION:
      ;www.google.sk. IN A

      ;; ANSWER SECTION:
      www.google.sk. 25095 IN CNAME www.google.com.
      www.google.com. 111469 IN CNAME www.l.google.com.
      www.l.google.com. 60 IN A 209.85.135.104
      www.l.google.com. 60 IN A 209.85.135.147
      www.l.google.com. 60 IN A 209.85.135.99
      www.l.google.com. 60 IN A 209.85.135.103

      ;; Query time: 104 msec
      ;; SERVER: 10.10.0.100#53(10.10.0.100)
      ;; WHEN: Tue Dec 18 07:55:32 2007
      ;; MSG SIZE rcvd: 143

      na BINDserver-i:
      # iptables -P INPUT DROP && iptables -P OUTPUT DROP
      a výsledok:
      $ dig www.google.sk

      ; <<>> DiG 9.3.4 <<>> www.google.sk
      ;; global options: printcmd
      ;; connection timed out; no servers could be reached

      takže chyba bude niekde v tvojej konfigurácii (použité distrá: server Debian PC kubuntu)
    • Re: IPtables ignoruje pravidla. Je to mozne?>je 18.12.2007 | 11:13
      lieko   Návštevník
      urcite to nie je tak ako hovoris

      myslim ze nebol najlepsi napad testovat to na DNS - jednak dns vie aj udp aj tcp, neviem ci sa vzdy resolvuje ip-cka ak to bolo resolvovane nedavno, potom mozem mat viacero dns serverov, este tu je /etc/hosts - radsej to testuj na ssh - tam to bude jasne