и снова iptables

@bearwoolfs · Регистрация: 10.01.2011

Студворк — интернет-сервис помощи студентам

Добрый день. Прошу помощи , ибо сам разобраться не могу.
Нужно открыть 25 и 110 порт , имееться ос DEBIAN с установленным iptables.
создал директорию и файл в /etc/sysconfig/iptables
выполнил iptables-save > /etc/sysconfig/iptables
внес в /etc/sysconfig/iptables правило :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT

// Сканирую ПК , открыт открыт только ssh порт 22
// Сразу скажу ГУГЛИЛ долго и тщатильно ...
вот : iptables -L
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTAB LISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:s mtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt

op3

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source
// Помогите пожалуйста, ибо сегодня нужно отдать сервак

Да и по инструкции есть директория /etc/init.d/iptables
а у меня ее нет ???

сам /etc/sysconfig/iptables

# Generated by iptables-save v1.4.8 on Wed Dec 21 10:24:10 2011
*filter
:INPUT ACCEPT [1457:109879]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [330:21084]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
COMMIT
# Completed on Wed Dec 21 10:24:10 2011

@odip · 21.12.2011, 13:22

вывод "iptables -L -v -n" покажи

@bearwoolfs · 21.12.2011, 14:08 **[ТС]**

Спасибо с этим делом решил вот таким вот скриптом ) На будущее

#!/bin/bash
#
# Flash all default
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
#
# Setup policy DROP for all
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
#
# loop=trusted.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
#
# Reject invalid pakets
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
#
# ESTABLISHED connection
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# Mail
/sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dport 25,110 -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp -m multiport --dport 25,110 -s 192.168.0.0/24 -j ACCEPT

@odip · 21.12.2011, 16:10

Это не вывод "iptables -L -v -n"

Зачем писать какой-то скрипт на bash, который еще нужно выполнить в некий момент загрузки системы
когда в норме нужно/можно подгружать правила iptables сразу при подъеме интерфейса ?

Добавлено через 45 секунд
Что Debian, что Ubuntu - никакой автоматизации для iptables

@odip · 21.12.2011, 16:17

Для примера стандартные правила CentOS 6.1

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@linux ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 
Chain OUTPUT (policy ACCEPT 293K packets, 44M bytes)
 pkts bytes target     prot opt in     out     source               destination
[root@linux ~]#

Добавлено через 3 минуты
Собственно тут все очевидно

INPUT
Сначала пропускаем все пакеты по установленным соединениям (ESTABLISHED)
или по новым, но имеющим отношения к установленным типа FTP канал данных или ошибки ICMP (RELATED)
Потом пропускаем все icmp сообщения
Потом пропускаем все через loopback
Потом разрешаем подключения по определенным портам ( только новые подключения )
И последнее правило - все остальное блокируем с посылкой ICMP icmp-host-prohibited

FORWARD заблокирован ( так как один интерфейс на компе и он не роутер )

OUTPUT пустой - то есть выпускаем все

Добавлено через 40 секунд
Для твоих правил что-то у меня большие сомнения насчет очереди OUTPUT

@bearwoolfs · 22.12.2011, 20:47 **[ТС]**

добавил в начало скрипта следующее : echo 1 > /proc/sys/net/ipv4/ip_forward
и все пошло , как показала практика нужно было пробрасывать через ядро.
Cпасибо за помощь .

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит: токи, напряжения и их 1 и 2 производные при t = 0;. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .

@bearwoolfs 15 / 15 / 5 Регистрация: 10.01.2011 Сообщений: 275

	и снова iptables 21.12.2011, 10:45. Показов 2119. Ответов 5 Метки нет (Все метки) Добрый день. Прошу помощи , ибо сам разобраться не могу. Нужно открыть 25 и 110 порт , имееться ос DEBIAN с установленным iptables. создал директорию и файл в /etc/sysconfig/iptables выполнил iptables-save > /etc/sysconfig/iptables внес в /etc/sysconfig/iptables правило : iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT // Сканирую ПК , открыт открыт только ssh порт 22 // Сразу скажу ГУГЛИЛ долго и тщатильно ... вот : iptables -L iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTAB LISHED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:s mtp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt op3 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source // Помогите пожалуйста, ибо сегодня нужно отдать сервак Да и по инструкции есть директория /etc/init.d/iptables а у меня ее нет ??? сам /etc/sysconfig/iptables # Generated by iptables-save v1.4.8 on Wed Dec 21 10:24:10 2011 *filter :INPUT ACCEPT [1457:109879] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [330:21084] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT COMMIT # Completed on Wed Dec 21 10:24:10 2011 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	21.12.2011, 13:22
	вывод "iptables -L -v -n" покажи 1

@bearwoolfs 15 / 15 / 5 Регистрация: 10.01.2011 Сообщений: 275
	21.12.2011, 14:08 [ТС]
	Спасибо с этим делом решил вот таким вот скриптом ) На будущее #!/bin/bash # # Flash all default /sbin/iptables -F /sbin/iptables -X /sbin/iptables -t nat -F /sbin/iptables -t nat -X # # Setup policy DROP for all /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # # loop=trusted. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # # Reject invalid pakets /sbin/iptables -A INPUT -m state --state INVALID -j DROP # # ESTABLISHED connection /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # # Mail /sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dport 25,110 -s 192.168.0.0/24 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p udp -m multiport --dport 25,110 -s 192.168.0.0/24 -j ACCEPT 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	21.12.2011, 16:10
	Это не вывод "iptables -L -v -n" Зачем писать какой-то скрипт на bash, который еще нужно выполнить в некий момент загрузки системы когда в норме нужно/можно подгружать правила iptables сразу при подъеме интерфейса ? Добавлено через 45 секунд Что Debian, что Ubuntu - никакой автоматизации для iptables 1

@bearwoolfs 15 / 15 / 5 Регистрация: 10.01.2011 Сообщений: 275
	22.12.2011, 20:47 [ТС]
	добавил в начало скрипта следующее : echo 1 > /proc/sys/net/ipv4/ip_forward и все пошло , как показала практика нужно было пробрасывать через ядро. Cпасибо за помощь . 0