DJViking Skrevet 24. september 2004 Del Skrevet 24. september 2004 (endret) Jeg har som standard DROP politikk på INPUT, FORWARD og OUTPUT på iptables. Dessverre fører dette til noe problemer for 2 av mine programmer. Når jeg har politikk til DROP får jeg ikke startet kile(latex program, KDE) KDE-Systemovervåker(kdesysguard, kdesysguardd) Det kommer ikke noe melding opp.. Bare ingenting... Men når jeg har politikk til ACCEPT starter programmene opp. Hva kan dette skyldes? Hva kan jeg gjøre for å fikse dette? Jeg vil ha global politikk til DROP EDIT: Ser ut som det også er endel andre programmer som også vil gjøre seg vanskelig. Jeg synes dette er virkelig irriterende nå. Jeg utelukker ikke brukerfeil, men noe er galt. Da kom program 1 opp... et par minutter etter at jeg startet det... Noen som kan hjelpe meg med dette frustrerende problemet.. Der dukket program 2 opp... Irriterende sent... Endret 24. september 2004 av DJViking Lenke til kommentar
Terrasque Skrevet 24. september 2004 Del Skrevet 24. september 2004 ta med "-s ! localhost" Lenke til kommentar
DJViking Skrevet 24. september 2004 Forfatter Del Skrevet 24. september 2004 ta med "-s ! localhost" Hva gjør dette? Lenke til kommentar
Bøb Skrevet 24. september 2004 Del Skrevet 24. september 2004 Ser ut som "source er ikke localhost". Lenke til kommentar
Langbein Skrevet 24. september 2004 Del Skrevet 24. september 2004 Det beste er å spesifisere nettverks-interface til iptables vha parameteren "-i", f.eks noe jeg har på serveren: iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT På denne måten vil de ikke påvirke loopback, for mange programmer benytter nemlig TCP/IP lokalt som en form for interprosess-kommunikasjon. Har du flere nettverkskort heter de sikkert eth0, eth1 osv, og du kan da sette opp forskjellige regler for NIC som står mot LAN og internett. Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 Så hvordan får jeg ordnet opp i iptables slik at disse programmene kan starte opp uten at de skal ha tilgang til nett? Slik ser min IPTables ut nå: # Fjærn gjeldende regler iptables -F # All trafikk skal i utgangspunktet ikke komme gjennom iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ICMP # Ikke svar på icmp trafikk. iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP # Ingen skal kunne initiere imcp trafikk mot deg. iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # All annen ICMP trafikk tillates. iptables -A INPUT -p icmp -j ACCEPT DNS # Tillat DNS trafikk initiert av deg. iptables -A OUTPUT -p udp -d 128.39.140.7 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -s 128.39.140.7 --sport 53 -m state --state ESTABLISHED -j ACCEPT WEB # Tillat Web trafikk iptables -A OUTPUT -p tcp --dport 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 80,443 -m state --state ESTABLISHED -j ACCEPT EPOST #Tillat sende forespørsel og motta epost POP iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT #Tillat sending, men ikke motta epost SMTP MIRC #Tillat Connecting to irc.homelien.no (195.159.0.90) port 6667.. iptables -A OUTPUT -p tcp -d 195.159.0.90 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 195.159.0.90 --sport 6667 -m state --state ESTABLISHED -j ACCEPT #Tillat Connecting to avionic.mine-nu.net (213.112.130.100) port 16000..SSL iptables -A OUTPUT -p tcp -d 213.112.130.100 --dport 16000 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 213.112.130.100 --sport 16000 -m state --state ESTABLISHED -j ACCEPT Lenke til kommentar
Terrasque Skrevet 25. september 2004 Del Skrevet 25. september 2004 iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p tcp -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p udp -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p udp -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p icmp -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT Det burde vel fungere.. Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPTiptables -A INPUT -p tcp -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p udp -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p udp -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p icmp -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT Det burde vel fungere.. Er disse kommandoene bare for intern kommunikasjon ? destination er localhost, men det er ikke satt noe source hvor det skal komme fra... kanskje også sette en -s 127.0.0.1 Lenke til kommentar
Terrasque Skrevet 25. september 2004 Del Skrevet 25. september 2004 Ta to maskiner, A og B. Prøv å send en pakke til 127.0.0.1 fra maskin A til maskin B... Lenke til kommentar
Manuel Skrevet 25. september 2004 Del Skrevet 25. september 2004 iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT Legg til en regel for OUTPUT i og med at du bruker en så aggressiv innstilling på brannveggen. Jeg tillater all utgående trafikk da jeg ikke er redd for spyware eller har noe behov for å begrense bruken av visse protokoller og porter (på utgående trafikk). Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT Legg til en regel for OUTPUT i og med at du bruker en så aggressiv innstilling på brannveggen. Jeg tillater all utgående trafikk da jeg ikke er redd for spyware eller har noe behov for å begrense bruken av visse protokoller og porter (på utgående trafikk). Jeg prøver å sette opp et system som er så sikkert som mulig. Lenke til kommentar
Langbein Skrevet 25. september 2004 Del Skrevet 25. september 2004 Jeg prøver å sette opp et system som er så sikkert som mulig. Du vil bare gjøre det ekstremt knotete for deg selv ved å sperre for utgående trafikk. Hvordan skal du fange opp alle portnummer? Mange websider linker f.eks til andre sider som kjører på ikke-standard portnummer. Personlig bruker jeg kun firewall-regler for INPUT Spyware og denslags tull er et ukjent fenomen i GNU/Linux, og mye av grunnen til at folk bruker så strenge "personal firewall" produkter i Windows som også blocker utgående trafikk. Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 Jeg prøver å sette opp et system som er så sikkert som mulig. Du vil bare gjøre det ekstremt knotete for deg selv ved å sperre for utgående trafikk. Hvordan skal du fange opp alle portnummer? Mange websider linker f.eks til andre sider som kjører på ikke-standard portnummer. Personlig bruker jeg kun firewall-regler for INPUT Spyware og denslags tull er et ukjent fenomen i GNU/Linux, og mye av grunnen til at folk bruker så strenge "personal firewall" produkter i Windows som også blocker utgående trafikk. Ja, stemmer vel at det ikke finnes noe spyware og slikt for Linux. Ennå... Siden jeg ikke vet om oppførselen til alle programmene jeg bruker foretrekker jeg å ha kontrollen med hva som blir slippet ut OG hva som blir sendt ut. Dette kan bli litt knotete når man kommer til en webside som ikke bruker standard portnr. Men dette problemet er jeg på søken etter en løsning på(en dynamisk løsning, dvs. noe som kan dektektere forsøk på å få tilgang til/fra en spesifisert port og så åpne tilgang til den, noe ala som ZoneAlarm, da IPTables(slikt jeg er erfaren med den) er statisk) Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 La til følgende og da ordnet alt seg iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT Lenke til kommentar
Manuel Skrevet 25. september 2004 Del Skrevet 25. september 2004 La til følgende og da ordnet alt segiptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT Som sagt Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 La til følgende og da ordnet alt segiptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT Som sagt Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket Slik? iptables -A INPUT -p tcp -i eth0 -j ACCEPT iptables -A OUTPUT -p tcp -i eth0 -j ACCEPT Lenke til kommentar
Manuel Skrevet 25. september 2004 Del Skrevet 25. september 2004 La til følgende og da ordnet alt segiptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT Som sagt Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket Slik? iptables -A INPUT -p tcp -i eth0 -j ACCEPT iptables -A OUTPUT -p tcp -i eth0 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -i lo -j ACCEPT Tillater all utgående og inngående trafikk på lo-interfacet. Slik du satte det opp til å begynne med, tillater du all trafikk med kilde og destinasjon 127.0.0.1.... En liten feilfaktor hvis ip-adressene skulle endre seg :-) Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 (endret) Hva er dette lo ? Endret 25. september 2004 av DJViking Lenke til kommentar
Langbein Skrevet 25. september 2004 Del Skrevet 25. september 2004 Hva er dette lo ? loopback, et slags virtuelt nic som bare brukes til kommunikasjon internt på pc'n Lenke til kommentar
DJViking Skrevet 25. september 2004 Forfatter Del Skrevet 25. september 2004 Fikk problemer med å legge til OUTPUT -i lo Edit: iptables v1.2.9: Can't use -i with OUTPUT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå