Iptables - Default

[@Sorror]

Korzystam z własnego firewalla opartego na iptables, stąd moje pytanie (nie wiem jak sprawa ma się doyślnie): z którego pliku domyślnie yest realizowane iptables w FC? Z ciekawości wystukałem z konsoli kilka regułek, jednak nigdzie po nich nie nie widzę śladu

[ati]

Regułki są wczytywane do pamięci. A domyślny plik z regułkami w FC jest w

/etc/sysconfig/iptables

Jesli się myle niech ktoś mnie poprawi.

[@Sorror]

Hm, no tak ale:

1. FC ma również własną realizację iptables? W tym pliku widzę regułki nieco różniące się od tradycyjnych

2. "Regułki są wczytywane do pamięci" ke? Niezbyt wiem co masz na myśli. Gdziekolwiek by się nie ładowały, musi zostać po nich ślad coby mogły być zastosowane następnym razem. Tymczasem w pliku /etc/sysconfig/iptables jak już mówiłem nie ma po nich śladu (tak jak w innych plikach - chyba, że jeszcze odpowiedniego nie znalazłem)

[ati]

Hm, no tak ale:

1. FC ma również własną realizację iptables? W tym pliku widzę regułki nieco różniące się od tradycyjnych

2. "Regułki są wczytywane do pamięci" ke? Niezbyt wiem co masz na myśli. Gdziekolwiek by się nie ładowały, musi zostać po nich ślad coby mogły być zastosowane następnym razem. Tymczasem w pliku /etc/sysconfig/iptables jak już mówiłem nie ma po nich śladu (tak jak w innych plikach - chyba, że jeszcze odpowiedniego nie znalazłem)

FC nie ma własnej realizacji iptables tylko ma utworzony firewall na łańcuchach !!! Przez to tak wszystko dziwacznie wygląda. Zerknij sobie do pliku

/etc/rc.d/init.d/iptables

 

To jest skrypt startowy który przetwarza regułki z pliku /etc/sysconfig/iptables.

 

Właśnie to sprawdziłem jak uzyjesz GUI do konfiguracji iptables

Ustawienia systemowe -> Poziom Bezpieczenstwa

I zapiszesz te ustawienia są one przechowywane w pliki

/etc/sysconfig/iptables

 

[root@bigboy tmp]# cat /etc/sysconfig/iptables

 

# Generated by iptables-save v1.2.9 on Mon Nov 8 11:00:07 2004

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [144:12748]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 255 -j ACCEPT

-A RH-Firewall-1-INPUT -p esp -j ACCEPT

-A RH-Firewall-1-INPUT -p ah -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

Są to "regułki nieco różniące się od tradycyjnych" bo skrypt startowy tworzy łańcuchy ang. chain

 

Przykład łąńcucha logowania:

#
$IPT -N DROPLOG   2> /dev/null
$IPT -A DROPLOG   -j LOG --log-level info --log-prefix 'DROPl:'
$IPT -A DROPLOG   -j DROP

 

 

Myślę że wyjaśniłem Twoje wątpliwości

 

Pozdrawiam

Tomasz Ochnik

[@Sorror]

Thx za informacje. Jednak z Twojego wyjaśnienia wyłania się troszkę denny obraz całego procesu... Po pierwsze poprzez GUI (system-config-securitylevel) nie można dowolnie modyfikować reguł, a dostępne opcje są nieco ubogie. Następna sprawa: z Twojej wypowiedzi wynika, iż regułki wklepywane z konsoli są przez system olewane, czy tak? Natomiast "Manual customization of this file is not recommended" No to niby w jaki sposób miałbym załadować własne regułki do tego pliku? Oczywiście można to olać i stworzyć własnego firewalla, tak też dawno temu zrobiłem. Niemniej ciekawi mnie ta kwestia, a w chwili obecnej jej obraz prezentuje się dla mnie tragicznie

 

EDIT: może wobec tego znany yest komuś jakiś przekład reguł iptables na format z /etc/sysconfig/iptables?

[@WalDo]

Nie jestem juz pewien o co Ci chodzi - czy chcesz mieć możliwość edycji iptables w jakimś GUI czy chcesz widzieć iptables tak jak są wpisywane do pliku konfiguracyjnego?

GUI znajdziesz od cholery (no może trochę mniej ) na googlach, ale ja nigdy nie umiałem z tego skorzystać

Jeśli chodzi Ci tylko o wyświetlanie, zapisywanie itp w sposób nieco inny niż podaje to np. "iptables -L", to zainteresuj się poleceniami iptables-save, iptables-restore. IMHO są bardziej przejrzyste niż opcja List w poleceniu iptables.

 

Pozdr.

W.

[@Sorror]

Jak już wspominałem, chodzi mi jedynie o informacje Yestem zwolennikiem konsoli, więc GUI unikam jak ognia. Jak tylko znajdę czas przyjrzę sie tym poleceniom, dzięki.

[Gość amdfanatyk]

jesli chcesz zapisac/odczytac reguly iptables, ktore bylo wgrane z rpm dystrybucji to uzyj /sbin/service iptables save i restart lub start; jesli kompilowales iptables z kernelem to skorzystaj z iptables-save i iptables-restore i przekieruj strumien z/do pliku czyli np.:

 

touch /etc/iptconf

chown root:root /etc/iptconf

chmod 600 /etc/iptconf

 

iptables-save 1>/etc/iptconf

iptables-restore 0</etc/iptconf

 

do szybkiego tworzenia regul mozesz tez uzyc mojego ipt-qt-conf dostepne na www.kde-apps.org.

[@Sorror]

Już mniej więcej się z tym zapoznałem. Poza tym jak już mówiłem ja nic nie chcę zrobić, chciałbym jedynie wiedzieć No i już wiem...

Jeśli chodzi o ipt-qt-conf to przyjrzałem się aplikacji. Miałeś dobry pomysł, realizacja również niczego sobie Jeśli chodzi o src to razi troszkę nagromadzenie if'ów oraz brak parametrów wejściowych określających rozdzielczość trybu pracy app w rozpoczynanej sesji. Było na szybko więc więcej nic chwilowo nie powiem

[ati]

Thx za informacje. Jednak z Twojego wyjaśnienia wyłania się troszkę denny obraz całego procesu... Po pierwsze poprzez GUI (system-config-securitylevel) nie można dowolnie modyfikować reguł, a dostępne opcje są nieco ubogie. Następna sprawa: z Twojej wypowiedzi wynika, iż regułki wklepywane z konsoli są przez system olewane, czy tak? Natomiast "Manual customization of this file is not recommended" No to niby w jaki sposób miałbym załadować własne regułki do tego pliku? Oczywiście można to olać i stworzyć własnego firewalla, tak też dawno temu zrobiłem. Niemniej ciekawi mnie ta kwestia, a w chwili obecnej jej obraz prezentuje się dla mnie tragicznie

 

EDIT: może wobec tego znany yest komuś jakiś przekład reguł iptables na format z /etc/sysconfig/iptables?

Nie było mnie w weekend dlatego nie mogłem odpowidzieć !

 

Jeśli chcesz mieć urucham własne właśne reguły podczas startu systemu to po co się upierać aby używać systemowych skryptów. Napisz własnego firwalla zapisz powiedzmy do pliku /etc/rc.d/rc.local i bedzie startował razem z systemem .

 

p.s wieczorkiem jak bde w domu to zerknę jak robi sie to w skryptach startowych.

 

Pozdrawiam

Tomasz Ochnik

[Gość amdfanatyk]

nie ma potrzeby smiecic w rc.local :] po to jest service lub iptables-restore.

[@Sorror]

Ati: no to przeczytaj mój pierwszy post Pytałem z czystej ciekawości a nie z potrzeby...

[ati]

Następna sprawa: z Twojej wypowiedzi wynika, iż regułki wklepywane z konsoli są przez system olewane, czy tak?

Trzeba poczytać o regułach iptables i bedziesz wiedzial jak kasować łańcuchy i zakładać nowe. Więc jak to bedziesz wiedział to nie bedziesz miał wątpliwości co do tego czy regułki sa olewane czy nie !!!!

 

Ati: no to przeczytaj mój pierwszy post wink.gif Pytałem z czystej ciekawości a nie z potrzeby...

 

Dlatego Ci odpowiedziałem

 

p.s Kazdy dobry firewall ma zawsze na początku kasowanie łańcuchów i ustawione politylki domyślne na DROP.

 

Pozdrawiam

Tomasz Ochnik

[@Sorror]

Trzeba poczytać o regułach iptables i bedziesz wiedzial jak kasować łańcuchy i zakładać nowe. Więc jak to bedziesz wiedział to nie bedziesz miał wątpliwości co do tego czy regułki sa olewane czy nie !!!!

A kiedy ja powiedziałem, że tego nie wiem :shock: Zrozum, wklepywanie regułek z konsoli w moim przypadku nic nie zmienia, nie są one nigdzie zapamiętywane i oczywiście nie działają, co również oczywiście sprawdziłem (inaczej bym się nie odzywał)... Dla mnie koniec topicu, nie pytałem w nim o same regułki ale ich miejsce docelowe (standardowe po wpisach z konsoli ich nie przyjmuje), dzięki pomocy mynusa udoskonaliłem jeszcze własny firewall i yestem happy, mniejsza o "iptables default"

 

EOT