Problem Z Iptables

[pietroh]

Witam!

 

Z Fedory 20 korzystam od około 4 miesięcy, kilka razy instalowałem system od nowa. Wyłączałem zawsze domyślny firewall i korzystałem z prostych reguł iptables wg poniższego zapisu (podaję kolejne kroki oraz reguły):

 

yum install iptables-services

systemctl mask firewalld.service

systemctl enable iptables.service

systemctl enable ip6tables.service

systemctl stop firewalld.service

iptables -F

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables-save > /etc/sysconfig/iptables (zapisanie nowej konfiguracji)

systemctl start iptables.service

systemctl start ip6tables.service

systemctl start iptables

 

 

Przy ostatniej instalacji i przeprowadzeniu w/w procedury po komendzie iptables-save stwierdziłem, że we wszystkich tablicach pozostały ustawienia stref z domyślnie instalowanego firewall'a oraz reguły dopisane przeze mnie. Tak jakby polecenie iptables -F w ogóle nie działało. Bardzo proszę o pomoc, nie wiem gdzie tu mógłby być błąd. Instalację powtórzyłem już kilka razy.

 

pozdrawiam

[Miszcz]

Nie rozumiem o co tak naprawdę do końca o co chodzi, ale może zrób to po kolei a nie, tak, że masz włączone naraz obydwie usługi tj.

 

systemctl disable firewalld.service (nie żadne mask)

systemctl stop firewalld.service

 

W tym momencie powinieneś mieć wyczyszczone reguły tj. czyste iptables. Dalej

 

systemctl enable iptables.service
systemctl enable ip6tables.service

systemctl start iptables.service
systemctl start ip6tables.service

 

Dodajesz reguły a później je zapisujesz: iptables-save > /etc/sysconfig/iptables

Reboot i zobacz czy pójdzie.

[@WalDo]

Swoją drogą, to odpalasz ip6tables a instalujesz reguły tylko na IPv4 (iptables) Ciekawe podejście do bezpieczeństwa. Protokołem IPv6 można wejść, bo drzwi otwarte

 

Ja, ponieważ nie korzystam z IPv6, to po prostu wyłączam ten protokół. A konfiguracja ip6tables na wszelki wypadek ma DROP na wszystkich łańcuchach.

[Miszcz]

To są tacy ludzie co używają ipv6?   

[@WalDo]

No, podobno są jakieś sieci testowe. A jeszcze bardziej podobno protokół jest dziurawy i można jakoś go wykorzystać do włamań. To co piszę trąci nieco mitologią Nie mogę tak na szybko znaleźć źródeł gdzie to wyczytałem.

Tak czy siak - ja wyłączam zaraz po aktualizacji systemu do nowszej wersji. Nie wiem co to jest, nie wiem jak działa i czy w ogóle działa więc po co mi śmiecie?

[pietroh]

dziękuję za dyskusje w temacie

 

Po zastosowaniu wskazówek Miszcza:

 

systemctl disable firewalld.service

systemctl stop firewalld.service

iptables -F

 

otrzymuję po poleceniu iptables-save:

# Generated by iptables-save v1.4.19.1 on Wed Aug  6 16:56:34 2014*nat:PREROUTING ACCEPT [58:20123]:INPUT ACCEPT [0:0]:OUTPUT ACCEPT [543:34009]:POSTROUTING ACCEPT [543:34009]:OUTPUT_direct - [0:0]:POSTROUTING_ZONES - [0:0]:POSTROUTING_ZONES_SOURCE - [0:0]:POSTROUTING_direct - [0:0]:POST_external - [0:0]:POST_external_allow - [0:0]:POST_external_deny - [0:0]:POST_external_log - [0:0]:POST_public - [0:0]:POST_public_allow - [0:0]:POST_public_deny - [0:0]:POST_public_log - [0:0]:PREROUTING_ZONES - [0:0]:PREROUTING_ZONES_SOURCE - [0:0]:PREROUTING_direct - [0:0]:PRE_public - [0:0]:PRE_public_allow - [0:0]:PRE_public_deny - [0:0]:PRE_public_log - [0:0]-A PREROUTING -j PREROUTING_direct-A PREROUTING -j PREROUTING_ZONES_SOURCE-A PREROUTING -j PREROUTING_ZONES-A OUTPUT -j OUTPUT_direct-A POSTROUTING -j POSTROUTING_direct-A POSTROUTING -j POSTROUTING_ZONES_SOURCE-A POSTROUTING -j POSTROUTING_ZONES-A POSTROUTING_ZONES -o wlp1s8 -j POST_public-A POSTROUTING_ZONES -j POST_public-A POST_external -j POST_external_log-A POST_external -j POST_external_deny-A POST_external -j POST_external_allow-A POST_external_allow ! -i lo -j MASQUERADE-A POST_public -j POST_public_log-A POST_public -j POST_public_deny-A POST_public -j POST_public_allow-A PREROUTING_ZONES -i wlp1s8 -j PRE_public-A PREROUTING_ZONES -j PRE_public-A PRE_public -j PRE_public_log-A PRE_public -j PRE_public_deny-A PRE_public -j PRE_public_allowCOMMIT# Completed on Wed Aug  6 16:56:34 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 16:56:34 2014*mangle:PREROUTING ACCEPT [4804:4281505]:INPUT ACCEPT [4746:4261382]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [4716:543638]:POSTROUTING ACCEPT [4725:546198]:FORWARD_direct - [0:0]:INPUT_direct - [0:0]:OUTPUT_direct - [0:0]:POSTROUTING_direct - [0:0]:PREROUTING_ZONES - [0:0]:PREROUTING_ZONES_SOURCE - [0:0]:PREROUTING_direct - [0:0]:PRE_public - [0:0]:PRE_public_allow - [0:0]:PRE_public_deny - [0:0]:PRE_public_log - [0:0]-A PREROUTING -j PREROUTING_direct-A PREROUTING -j PREROUTING_ZONES_SOURCE-A PREROUTING -j PREROUTING_ZONES-A INPUT -j INPUT_direct-A FORWARD -j FORWARD_direct-A OUTPUT -j OUTPUT_direct-A POSTROUTING -j POSTROUTING_direct-A PREROUTING_ZONES -i wlp1s8 -j PRE_public-A PREROUTING_ZONES -j PRE_public-A PRE_public -j PRE_public_log-A PRE_public -j PRE_public_deny-A PRE_public -j PRE_public_allowCOMMIT# Completed on Wed Aug  6 16:56:34 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 16:56:34 2014*security:INPUT ACCEPT [5052:4288162]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [5022:570418]:FORWARD_direct - [0:0]:INPUT_direct - [0:0]:OUTPUT_direct - [0:0]-A INPUT -j INPUT_direct-A FORWARD -j FORWARD_direct-A OUTPUT -j OUTPUT_directCOMMIT# Completed on Wed Aug  6 16:56:34 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 16:56:34 2014*raw:PREROUTING ACCEPT [5110:4308285]:OUTPUT ACCEPT [5022:570418]:OUTPUT_direct - [0:0]:PREROUTING_direct - [0:0]-A PREROUTING -j PREROUTING_direct-A OUTPUT -j OUTPUT_directCOMMIT# Completed on Wed Aug  6 16:56:34 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 16:56:34 2014*filter:INPUT ACCEPT [364:207295]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [463:90659]:FORWARD_IN_ZONES - [0:0]:FORWARD_IN_ZONES_SOURCE - [0:0]:FORWARD_OUT_ZONES - [0:0]:FORWARD_OUT_ZONES_SOURCE - [0:0]:FORWARD_direct - [0:0]:FWDI_public - [0:0]:FWDI_public_allow - [0:0]:FWDI_public_deny - [0:0]:FWDI_public_log - [0:0]:FWDO_external - [0:0]:FWDO_external_allow - [0:0]:FWDO_external_deny - [0:0]:FWDO_external_log - [0:0]:FWDO_public - [0:0]:FWDO_public_allow - [0:0]:FWDO_public_deny - [0:0]:FWDO_public_log - [0:0]:INPUT_ZONES - [0:0]:INPUT_ZONES_SOURCE - [0:0]:INPUT_direct - [0:0]:IN_dmz - [0:0]:IN_dmz_allow - [0:0]:IN_dmz_deny - [0:0]:IN_dmz_log - [0:0]:IN_external - [0:0]:IN_external_allow - [0:0]:IN_external_deny - [0:0]:IN_external_log - [0:0]:IN_home - [0:0]:IN_home_allow - [0:0]:IN_home_deny - [0:0]:IN_home_log - [0:0]:IN_internal - [0:0]:IN_internal_allow - [0:0]:IN_internal_deny - [0:0]:IN_internal_log - [0:0]:IN_public - [0:0]:IN_public_allow - [0:0]:IN_public_deny - [0:0]:IN_public_log - [0:0]:IN_work - [0:0]:IN_work_allow - [0:0]:IN_work_deny - [0:0]:IN_work_log - [0:0]:OUTPUT_direct - [0:0]COMMIT# Completed on Wed Aug  6 16:56:34 2014

To chyba nie jest czyste iptables (z tego co pamiętam we wcześniejszych instalacjach systemu)? Moja ograniczona wiedza pochodzi tylko z tego co wyczytałem na internecie, nie znalazłem informacji w temacie IPv6, więc stosowałem formułki znalezione w dokumentacji do fedory firewalld. Ale wracając do tematu - próbowałem wyczyścić też iptables formułami:

iptables -Fiptables -Xiptables -t nat -Fiptables -t nat -Xiptables -t mangle -Fiptables -t mangle -X

i to przynosi efekty (iptables-save):

Generated by iptables-save v1.4.19.1 on Wed Aug  6 17:22:03 2014*nat:PREROUTING ACCEPT [1:310]:INPUT ACCEPT [0:0]:OUTPUT ACCEPT [6:406]:POSTROUTING ACCEPT [6:406]COMMIT# Completed on Wed Aug  6 17:22:03 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 17:22:03 2014*mangle:PREROUTING ACCEPT [5:596]:INPUT ACCEPT [5:596]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [6:1218]:POSTROUTING ACCEPT [6:1218]COMMIT# Completed on Wed Aug  6 17:22:03 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 17:22:03 2014*security:INPUT ACCEPT [9325:7907495]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [9501:1250666]:FORWARD_direct - [0:0]:INPUT_direct - [0:0]:OUTPUT_direct - [0:0]-A INPUT -j INPUT_direct-A FORWARD -j FORWARD_direct-A OUTPUT -j OUTPUT_directCOMMIT# Completed on Wed Aug  6 17:22:03 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 17:22:03 2014*raw:PREROUTING ACCEPT [9462:7953665]:OUTPUT ACCEPT [9501:1250666]:OUTPUT_direct - [0:0]:PREROUTING_direct - [0:0]-A PREROUTING -j PREROUTING_direct-A OUTPUT -j OUTPUT_directCOMMIT# Completed on Wed Aug  6 17:22:03 2014# Generated by iptables-save v1.4.19.1 on Wed Aug  6 17:22:03 2014*filter:INPUT ACCEPT [1720:1856604]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [1439:197200]COMMIT# Completed on Wed Aug  6 17:22:03 2014

Dodam jeszcze, że próbowałem tego samego w GNOME 2 i tam np. po użyciu polecenia

iptables -X

wyskakiwał komunikat: too many links.

 

Wszystkie czynności przy każdej instalacji wykonywałem w ten sam sposób (specjalnie stworzyłem spis żeby niczego nie pominąć). Teraz nagle wygląda dla mnie to tak, że iptables -F nie potrafi skasować istniejących reguł - proszę poprawcie mnie jeśli źle myślę.

 

Prosze jeszcze o opinię, bo myślę czy nie używać m.in. ze względu na tą sytuację firewalld, strefę drop (przeglądam tylko strony www, loguję się też do banku) - co myślicie o tym zabezpieczeniu?

[Miszcz]

Ale po zatrzymaniu firewalld uruchom iptables.services i dopiero wtedy próbuj iptables-save. Zresztą zobacz po zatrzymaniu jak wyglądają reguły (iptables -L -v ). Wszystko powinno być wyczyszczone i na ACCEPT. I teraz jeżeli dalej iptables-save tworzy "stare" reguły to to wygląda na bug(albo ficzer ) System zaktualizowany?

Sprawdziłem na szybko u siebie u mnie nie ma takich problemów.