Nefunkcni konfigurace Iptables(teoreticky je to ale nastaveno spravne)

[polo]

Ahoj, mam celkem zasadni problem s konfiguraci Iptables. I presto ze tam mam zakazany politikou nektere porty tak jsou dostupne a ja nevim cim to je. Uvedu na priklade. Na mem PC bezi samba(port 445) a ja ji na FW nemam povolenou. Bohuzel i kdyz neni povolena tak se tam da ze sousedniho XP PC dostat. Tady jsou moje pravidla. Podle nich by se na 445 nemel nikdo dostat...

#politiky FW
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

Kód [Vybrat] Rozbalit

#FW pravidla
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 2345 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5900 -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 4672 -j ACCEPT #aMule
/sbin/iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 50000 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4665 -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 52167 -j ACCEPT#Azureus
/sbin/iptables -A INPUT -p tcp --dport 52167 -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 14025 -j ACCEPT#DC++
/sbin/iptables -A INPUT -p tcp --dport 15425 -j ACCEPT

tady je vypis iptables -vL

Kód [Vybrat] Rozbalit

iptables -vL
Chain INPUT (policy DROP 100 packets, 14428 bytes)
pkts bytes target     prot opt in     out     source               destination         
1210 1709K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
   17  1020 ACCEPT     all  --  lo     any     anywhere             anywhere           
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:2345
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpts:ftp-data:ftp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:5900
  663 45910 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:4672
    2   104 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:4662
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:50000
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:4665
  787 68434 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:52167
    8   424 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:52167
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:14025
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:15425

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2839 packets, 1701K bytes)
pkts bytes target     prot opt in     out     source               destination

Pripojeni jde jak z lokalu tak z jineho PC v LAN.

[Petr Krčmář]

Na první pohled to vypadá dobře, budu spíš hádat: nemůže za to první pravidlo? Není ten stroj k té Sambě už připojený a firewall to vyhodnotí jako ESTABLISHED a pouští ho tam?

Já obecně takové "záhady" řeším vylučovací metodou. Zkus smazat všechna pravidla a postupně je zavádět a zkoušet, jak se to bude chovat.

[polo]

Tak uz jsem prisel na prvni chybu. Situaci popisu znova... Iptables jsou nastaveny stejne. Pripojeni ze sousedniho PC na sambu nejde - coz je v poradku. Mam ale ve VMware virtualni XP a z tech se pripojim. Jeste bych dodal ze ten VM je v LAN(bridge mode). Proto jsem predtim psal ze se sousedniho PC. Ve skutecnosti jsem myslel VM. Ono by se ostatne jako sousedni chovat melo. Pak me napadlo zkusit realne sousedni PC a na nem samba prihlaseni neslo. Tzn. ted uz mi tim padem neni jasne cim to je. 2 teoreticky stejne PC ale pokazde jiny vysledek. jinak pred pripojenim toho virtualniho jsem ho resetoval takze related a nebo established tady nehrozi.

[Ahmul]

A implementuje VMWare skutečně bridge? Resp. co ukazuje

Kód [Vybrat] Rozbalit

brctl show? Zkoušel jste jen tak pro zábavu zakázat sambu i na loopback?:)

[polo]

Ano ve VMware mam nastaven bridge. Vystup z brctl show je:bash: brctl: command not found.

Co myslite timhle? Zkoušel jste jen tak pro zábavu zakázat sambu i na loopback? Muzete napsat konkretni pravidlo?

[polo]

Mel bych jeste jednu otazku...mam iptables nastaveny tak jak mam uvedeno. No a kdyz restartuju PC tak se nemuzu dostat do VMware web console. Kdyz iptables vypnu tak se tam dostanu. Ta console pracuje na portech localhost:8222 a localhost:8333. Neni mi jasne proc se tam nemohu prihlasit kdyz INPUT -i lo mam ACCEPT. Nenapada nekoho v cem by mohl byt hacek?

[Ahmul]

* brctl najdete v balíku bridge-utils
* mělo by stačit

Kód [Vybrat] Rozbalit


iptables -A INPUT -i lo -p tcp -m tcp --dport 445 -j DROP
iptables -A INPUT -i lo -p tcp -m tcp --dport 139 -j DROP


[polo]

...a proc mas uveden v pravidle vstup -lo? Na sambu pristupuju z VMware pres IP pridelenou virtualnimu stroji a ne loopback.

brctl show
bridge name   bridge id      STP enabled   interfaces