Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
RSS
Небольшая проблема с IPTables
 
Для конфигурирования IPtables использую графический интерфейс WEBMIN
Пишу правила фильтрации пакетов в Filtering, соответственно INPUT, FORWARD и OUTPUT

В OUTPUT - правило accept all

B Input и Forward (совершенно одинаковые правила):
1. Принимать Если источник 127.0.0.1 и назначение 127.0.0.1   
2. Принимать Если протокол ICMP   
3. Принимать Если протокол TCP и источник 10.20.30.40 и входящий интерфейс eth0 и порт назначения 22   
4. Принимать Если протокол UDP и источник 10.20.30.40 и входящий интерфейс eth0 и порт назначения 22   
5. Принимать Если протокол TCP и порт назначения 80   
6. Принимать Если протокол UDP и порт назначения 80   
7. Принимать Если протокол TCP и источник 10.20.30.40 и входящий интерфейс eth0 и порт назначения 10000   
8. Принимать Если протокол TCP и источник 10.20.30.40 и входящий интерфейс eth0 и порт назначения 10000   
9. Отбрасывать Всегда

Затем стартую файрволл. Вроде работает :), но - все комманды так или иначе связанные с сетью, например:
lsof -i (показать открытые порты), netstat -a и пр. не работают
Подскажите пожалуйста как это исправить?
 
входящие и исходящие на себя

-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
 
Цитата
nmkr пишет:
входящие и исходящие на себя

-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT

Не работает :)
 
Но явно проблема с loopback (127.0.0.1), так как входящий интерфейс не дает пинговать

ping lo - и пусто
 
iptables -L -nv в студию плиииз
 
Chain INPUT (policy DROP 33 packets, 7239 bytes)
pkts bytes target     prot opt in     out    & nbsp;source        & nbsp;      destination
    0     0 ACCEPT     all -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      127.0.0.1
    0     0 ACCEPT     all -- *      *   &nbs p;   127.0.0.1     & nbsp;      0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0
   14   700 ACCEPT     tcp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  tcp dpt:22
    0     0 ACCEPT     udp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  udp dpt:22
    0     0 ACCEPT     tcp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0 &nbs p;         tcp dpt:80
    0     0 ACCEPT     udp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0 &nbs p;         udp dpt:80
    0     0 ACCEPT     tcp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  tcp dpt:10000
    0     0 ACCEPT     udp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  udp dpt:10000
    0     0 ACCEPT     all -- *      *   &nbs p;   10.128.161.251    &n bsp;  0.0.0.0/0
    0     0 ACCEPT     all -- lo     *    &nb sp;  0.0.0.0/0             0.0.0.0/0
    0     0 ACCEPT     all -- eth0   *      & nbsp;127.0.0.1       &nbs p;    0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out    & nbsp;source        & nbsp;      destination
    0     0 ACCEPT     all -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      127.0.0.1
    0     0 ACCEPT     all -- *      *   &nbs p;   127.0.0.1     & nbsp;      0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0
    0     0 ACCEPT     tcp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  tcp dpt:22
    0     0 ACCEPT     udp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  udp dpt:22
    0     0 ACCEPT     tcp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0 &nbs p;         tcp dpt:80
    0     0 ACCEPT     udp -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0 &nbs p;         udp dpt:80
    0     0 ACCEPT     tcp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  tcp dpt:10000
    0     0 ACCEPT     tcp -- eth0   *      & nbsp;10.128.161.219        ;0.0.0.0/0        &n bsp;  tcp dpt:10000
    0     0 ACCEPT     all -- *      *   &nbs p;   10.128.161.251    &n bsp;  0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out    & nbsp;source        & nbsp;      destination
    7   588 ACCEPT     all -- *      *   &nbs p;   0.0.0.0/0     & nbsp;      0.0.0.0/0
    
Я начал кспериментировать, так что правило по умолчанию в Forward - accept all, а должно быть drop all, также много экспериментальных правил в INPUT
 
вроде все правильно

если делаешь INPUT ACCEPT все работает ?

попробуй -A INPUT -s 127.0.0.1 -j LOG
-A INPUT -d 127.0.0.1 -j LOG в начало цепочки

d /var/log/messages сможешь посмотреть что дропнулось
 
попробуй пропиши
iptables -I INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
соответственно
iptables -I OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
как я понимаю проблема может быть не loopback,
т.к. у меня на машине loopback запрещен,
но все сетевые команды работают без проблем
 
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
и все
 
99% что проблема связана с DNS,
вы не получаетет ответов от сервера
попробуйте команду
netstat -an
 
исключаем непонятки с пингами:
# sysctl net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 0

если говорит "1", то:
# sysctl -w net.ipv4.icmp_echo_ignore_all=0
и правим /etc/sysctl.conf


А ДНС ты все-таки проверь
Да убоится юзер админа своего (с) Библия юзера...
Возлюби пользователя своего как самого себя (с) Руководство по эксплуатации пользователей...
 
и вдогонку

lsof -i -n
Страницы: 1
Читают тему (гостей: 1)