Krystian Kiermasz Napisano Grudzień 13, 2013 Zgłoszenie Share Napisano Grudzień 13, 2013 Teraz wszystko jasne, powoli sprawdzam kolejne wpisy co oznaczają i w jaki sposób dodawać kolejne. Widzę, że powinno być łatwiej niż opanowanie firewalld, gdyż dla mnie na pierwszy rzut oka jest chaos. Domyślna polityka wygląda tak: [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere INPUT_direct all -- anywhere anywhere INPUT_ZONES_SOURCE all -- anywhere anywhere INPUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere FORWARD_direct all -- anywhere anywhere FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere FORWARD_IN_ZONES all -- anywhere anywhere FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere FORWARD_OUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination OUTPUT_direct all -- anywhere anywhere Chain FORWARD_IN_ZONES (1 references) target prot opt source destination FWDI_public all -- anywhere anywhere FWDI_public all -- anywhere anywhere Chain FORWARD_IN_ZONES_SOURCE (1 references) target prot opt source destination Chain FORWARD_OUT_ZONES (1 references) target prot opt source destination FWDO_public all -- anywhere anywhere FWDO_public all -- anywhere anywhere Chain FORWARD_OUT_ZONES_SOURCE (1 references) target prot opt source destination Chain FORWARD_direct (1 references) target prot opt source destination Chain FWDI_public (2 references) target prot opt source destination FWDI_public_log all -- anywhere anywhere FWDI_public_deny all -- anywhere anywhere FWDI_public_allow all -- anywhere anywhere Chain FWDI_public_allow (1 references) target prot opt source destination Chain FWDI_public_deny (1 references) target prot opt source destination Chain FWDI_public_log (1 references) target prot opt source destination Chain FWDO_external (0 references) target prot opt source destination FWDO_external_log all -- anywhere anywhere FWDO_external_deny all -- anywhere anywhere FWDO_external_allow all -- anywhere anywhere Chain FWDO_external_allow (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain FWDO_external_deny (1 references) target prot opt source destination Chain FWDO_external_log (1 references) target prot opt source destination Chain FWDO_public (2 references) target prot opt source destination FWDO_public_log all -- anywhere anywhere FWDO_public_deny all -- anywhere anywhere FWDO_public_allow all -- anywhere anywhere Chain FWDO_public_allow (1 references) target prot opt source destination Chain FWDO_public_deny (1 references) target prot opt source destination Chain FWDO_public_log (1 references) target prot opt source destination Chain INPUT_ZONES (1 references) target prot opt source destination IN_public all -- anywhere anywhere IN_public all -- anywhere anywhere Chain INPUT_ZONES_SOURCE (1 references) target prot opt source destination Chain INPUT_direct (1 references) target prot opt source destination Chain IN_dmz (0 references) target prot opt source destination IN_dmz_log all -- anywhere anywhere IN_dmz_deny all -- anywhere anywhere IN_dmz_allow all -- anywhere anywhere Chain IN_dmz_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW Chain IN_dmz_deny (1 references) target prot opt source destination Chain IN_dmz_log (1 references) target prot opt source destination Chain IN_external (0 references) target prot opt source destination IN_external_log all -- anywhere anywhere IN_external_deny all -- anywhere anywhere IN_external_allow all -- anywhere anywhere Chain IN_external_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW Chain IN_external_deny (1 references) target prot opt source destination Chain IN_external_log (1 references) target prot opt source destination Chain IN_home (0 references) target prot opt source destination IN_home_log all -- anywhere anywhere IN_home_deny all -- anywhere anywhere IN_home_allow all -- anywhere anywhere Chain IN_home_allow (1 references) target prot opt source destination ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ipp ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ctstate NEW Chain IN_home_deny (1 references) target prot opt source destination Chain IN_home_log (1 references) target prot opt source destination Chain IN_internal (0 references) target prot opt source destination IN_internal_log all -- anywhere anywhere IN_internal_deny all -- anywhere anywhere IN_internal_allow all -- anywhere anywhere Chain IN_internal_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ipp ctstate NEW ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ctstate NEW Chain IN_internal_deny (1 references) target prot opt source destination Chain IN_internal_log (1 references) target prot opt source destination Chain IN_public (2 references) target prot opt source destination IN_public_log all -- anywhere anywhere IN_public_deny all -- anywhere anywhere IN_public_allow all -- anywhere anywhere Chain IN_public_allow (1 references) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:ipp ctstate NEW ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ipp ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ipp ctstate NEW Chain IN_public_deny (1 references) target prot opt source destination Chain IN_public_log (1 references) target prot opt source destination Chain IN_work (0 references) target prot opt source destination IN_work_log all -- anywhere anywhere IN_work_deny all -- anywhere anywhere IN_work_allow all -- anywhere anywhere Chain IN_work_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ipp ctstate NEW Chain IN_work_deny (1 references) target prot opt source destination Chain IN_work_log (1 references) target prot opt source destination Chain OUTPUT_direct (1 references) target prot opt source destination I chyba na moim podstawowym komputerze również przejdę na czysty iptables. Póki co standardowo jest zaznaczona opcja Public - czy zapewnia ona podobny poziom bezpieczeństwa co ta napisana przez Ciebie? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Mentat Napisano Grudzień 13, 2013 Zgłoszenie Share Napisano Grudzień 13, 2013 Teraz wszystko jasne, powoli sprawdzam kolejne wpisy co oznaczają i w jaki sposób dodawać kolejne. Widzę, że powinno być łatwiej niż opanowanie firewalld, gdyż dla mnie na pierwszy rzut oka jest chaos. Domyślna polityka wygląda tak: ... I chyba na moim podstawowym komputerze również przejdę na czysty iptables. Póki co standardowo jest zaznaczona opcja Public - czy zapewnia ona podobny poziom bezpieczeństwa co ta napisana przez Ciebie? Cała filozofia firewalld polega jak mniemam na stworzeniu wszystkich możliwych łańcuchów i przełączanie ruchu między nimi w zależności od pewnych warunków. Dlatego tych reguł tak dużo. Mnie również to odepchnęło i stwierdziłem że nie chce mi się tego ogarniać. Nie zmieniam sieci w stacjonarnym komputerze. Zwykle napisane reguły są wydajniejsze bo te domyślne pisane są dla ludzi którzy zwykle nie wiedzą o ich istnieniu. Jak widać w dodanym przez Ciebie tekście wrzucają np. kończenie łańcucha celem REJECT z reject-with icmp-host-prohibited, który nakazuje odesłanie pakietu ICMP jeśli pakiet wejściowy nie trafił w żadną regułę zamiast celu DROP (czyli rzuć focha i udawaj że nie istniejesz ). Poza tym nie wiem jak wy ale ja nie przepadam za przeglądaniem reguł przez -L, jakieś to dla mnie strasznie nieczytelne (często za mało informacji) może -vL ma jakiś sens ale i tak preferuję -S. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 13, 2013 Autor Zgłoszenie Share Napisano Grudzień 13, 2013 @Krystian Kiermasz - zostawiłeś domyślne polityki [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) [...] Chain FORWARD (policy ACCEPT) [...] Chain OUTPUT (policy ACCEPT) Osobiście preferuję odciąć się od wszystkiego (DROP) i pomalutku otwierać to czego mi brakuje. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Krystian Kiermasz Napisano Grudzień 13, 2013 Zgłoszenie Share Napisano Grudzień 13, 2013 WalDo Twoje ustawienia iptables zastosowałem w innym komputerze, który wykorzystuję tylko do pracy, i powoli tłumaczę sobie jakie wpisy dodałem - tak aby zrozumieć co się dzieje. Te teraz wklejone, to są reguły z komputera domowego, gdzie mam jeszcze standardowy firewalld i korzystam z ustawienia Public. Ale jest taki chaos że ciężko to ogarnąć i chyba też wywalę tą nakładkę na rzecz czystego iptables. Bo skoro i tak wszystko tutaj jest ACCEPT, to chyba ten firewall mija się zupełnie ze swoim powołaniem. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 13, 2013 Autor Zgłoszenie Share Napisano Grudzień 13, 2013 firewalld nie należy odrzucać tylko trzeba pomału się tego uczyć. To bardzo fajne rozwiązanie dla komputerów mobilnych podłączanych do nieznanych sieci. W komputerze domowym - jeśli myślisz o stacjonarnym PC - iptables są zdecydowanie prostsze do ogarnięcia. Tak czy siak polecam DROP - czy to w firewalld czy to w "czystym" iptables i niezależnie od zastosowania kompa. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Krystian Kiermasz Napisano Styczeń 15, 2014 Zgłoszenie Share Napisano Styczeń 15, 2014 Mam problem z portami, stosuję niezmienioną politykę zaproponowaną przez WalDo w tym wątku. Zainstalowałem na komputerze chmurę owncloud - jako serwer, i nie mogę się z nią połączyć z innego komputera z aplikacji klienckiej. Myślę że apacz działa poprawnie i cała reszta, a problem tkwi w zablokowanym porcie - chmura korzysta niby z 80 i 443. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
gal3rnik Napisano Styczeń 15, 2014 Zgłoszenie Share Napisano Styczeń 15, 2014 Najprostszym sposobem weryfikacji, czy jest to problem z firewallem jest po prostu wyłączenie go: systemctl status firewalld.service systemctl stop firewalld.service Jak przy wyłączonym firewald połączysz się jesteś już pewien, że należy tam grzebać. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Krystian Kiermasz Napisano Styczeń 15, 2014 Zgłoszenie Share Napisano Styczeń 15, 2014 Faktycznie, przy wyłączonym iptables i selinux'ie nadal nie łączy. Coś widzę że nie będzie to takie proste jak w opisach/instrukcjach. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się