Iptables - Loopback I Established - To Jest Bez Sensu

[pleks]

Wszyscy przy konfiguracji iptables polecają dodac linijkę

iptables -A INPUT -i lo -j ACCEPT

oraz

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

problem w tym że gdy się je doda to tak jakby żadnych regół nie było i domyślna polityka mimo że jest DROP to i tak wszystko działa jak na ACCEPT

przecież porty dla http i https powinny być chyba zablokowane ??

jak wylistuję reguły po tych dwóch komendach to mam coś takiego

[root@localhost ~]# iptables -L INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
[root@localhost ~]#

Po co więc dodawać w skryptach linijki typu

iptables -A INPUT -p tcp --sport 80 -j ACCEPT

Skoro i bez nich wszystkie strony działają??

 

[@WalDo]

[...]przecież porty dla http i https powinny być chyba zablokowane ??[...]

A dlaczego mają być zablokowane? Wystarczy monitorować (-j LOG). Zresztą "ESTABLISHED,RELATED" nie dotyczy tylko i wyłącznie 80 i 443. Ta reguła dopuszcza wyłącznie połączenia, które TY nawiązałeś i chroni Twojego kompa przed nawiązaniem połączenia Z wrogiej strony (na którą przypadkiem połączyłeś się przez http czy https) po porcie innym niż 80 czy 443.

To jest dość zakręcone Trzeba o tym po prostu sporo poczytać, wykazać się wyobraźnią, a najlepiej poprobować z wykorzystaniem serwerów wirtualnych (ja korzystam z darmowego VMware Server, ale są też inne)

Linijka z "-i lo" jest nie tylko zalecana, ale i konieczna - wyobraź sobie, że blokujesz cały ruch na interfejsie lokalnym :D

 

[dj_oko]

Linijka, o której mówi pleks:

ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Dla mnie też jest całkowicie niezrozumiała. Pojaiwa się po odblokowaniu interfejsu loopback(a to jest konieczne, bo bez tego nie da sie nawet wylogować). Czemu wyglada akurat tak - nie mam pojęcia. Jeśli chodzi o to, czy tak skonfigurowana zapora rzdeczywiście działa, to inna sprawa, bo wiem, ze działa. Musiałem ręcznie(pod tą regułką) dopisać regułkę otwierającą port do VNC i do civservera, wiec zapora spełnia swoje zadanie.

 

Sformułuję wiec pytanie inaczej:

Dlaczego ta linijka wygląda tak, jakby dopuszczała wszystko? I czy ona naprawdę pomaga, czy mam zwidy? Tego nie moge w żaden sposób rozkminic czytając dokumentację, zatem prosze o łopatologiczne wyjaśnienie:)

[@WalDo]

Dlaczego ta linijka wygląda tak, jakby dopuszczała wszystko? I czy ona naprawdę pomaga, czy mam zwidy? Tego nie moge w żaden sposób rozkminic czytając dokumentację, zatem prosze o łopatologiczne wyjaśnienie:)

Nie masz zwidów i ta linijka rzeczywiście dopuszcza wszystko... tylko, że dotyczy "loopback" Druga linijka (ta z ESTABLISHED,RELATED) dotyczy interfejsu zewnętrznego.

Dla mnie wskazania polecenia "iptables -L' zawsze były i pozostaną niezgłębiona tajemnicą. Są po prostu nieczytelne - wolę przeczytać wszystkie regułki w iptables odpalając np. iptables-save - wtedy można łatwo zobaczyć, że akceptacja wszystkich połączeń dotyczy wyłącznie połączeń lokalnych (-i lo) a nie połączeń zewnętrznych.