Programmer vil ikke starte opp

[DJViking]

Jeg har som standard DROP politikk på INPUT, FORWARD og OUTPUT på iptables.

Dessverre fører dette til noe problemer for 2 av mine programmer.

Når jeg har politikk til DROP får jeg ikke startet

kile(latex program, KDE)

KDE-Systemovervåker(kdesysguard, kdesysguardd)

Det kommer ikke noe melding opp.. Bare ingenting...

 

Men når jeg har politikk til ACCEPT starter programmene opp.

 

Hva kan dette skyldes? Hva kan jeg gjøre for å fikse dette?

Jeg vil ha global politikk til DROP

 

EDIT: Ser ut som det også er endel andre programmer som også vil gjøre seg vanskelig. Jeg synes dette er virkelig irriterende nå. Jeg utelukker ikke brukerfeil, men noe er galt.

 

Da kom program 1 opp... et par minutter etter at jeg startet det...

 

Noen som kan hjelpe meg med dette frustrerende problemet..

 

Der dukket program 2 opp... Irriterende sent...

Endret 24. september 2004 av DJViking

[Terrasque]

ta med "-s ! localhost"

[DJViking]

ta med "-s ! localhost"

Hva gjør dette?

[Bøb]

Ser ut som "source er ikke localhost".

[Langbein]

Det beste er å spesifisere nettverks-interface til iptables vha parameteren "-i", f.eks noe jeg har på serveren:

 

iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

 

På denne måten vil de ikke påvirke loopback, for mange programmer benytter nemlig TCP/IP lokalt som en form for interprosess-kommunikasjon.

 

Har du flere nettverkskort heter de sikkert eth0, eth1 osv, og du kan da sette opp forskjellige regler for NIC som står mot LAN og internett.

[DJViking]

Så hvordan får jeg ordnet opp i iptables slik at disse programmene kan starte opp uten at de skal ha tilgang til nett?

 

Slik ser min IPTables ut nå:

# Fjærn gjeldende regler

iptables -F

 

# All trafikk skal i utgangspunktet ikke komme gjennom

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

 

ICMP

# Ikke svar på icmp trafikk.

iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP

# Ingen skal kunne initiere imcp trafikk mot deg.

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# All annen ICMP trafikk tillates.

iptables -A INPUT -p icmp -j ACCEPT

 

DNS

# Tillat DNS trafikk initiert av deg.

iptables -A OUTPUT -p udp -d 128.39.140.7 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp -s 128.39.140.7 --sport 53 -m state --state ESTABLISHED -j ACCEPT

 

WEB

# Tillat Web trafikk

iptables -A OUTPUT -p tcp --dport 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 80,443 -m state --state ESTABLISHED -j ACCEPT

 

EPOST

#Tillat sende forespørsel og motta epost POP

iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

#Tillat sending, men ikke motta epost SMTP

 

MIRC

#Tillat Connecting to irc.homelien.no (195.159.0.90) port 6667..

iptables -A OUTPUT -p tcp -d 195.159.0.90 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s 195.159.0.90 --sport 6667 -m state --state ESTABLISHED -j ACCEPT

#Tillat Connecting to avionic.mine-nu.net (213.112.130.100) port 16000..SSL

iptables -A OUTPUT -p tcp -d 213.112.130.100 --dport 16000 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s 213.112.130.100 --sport 16000 -m state --state ESTABLISHED -j ACCEPT

[Terrasque]

iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp -d 127.0.0.1 -j ACCEPT

 

iptables -A OUTPUT -p udp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p udp -d 127.0.0.1 -j ACCEPT

 

iptables -A OUTPUT -p icmp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT

 

Det burde vel fungere..

[DJViking]

iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp -d 127.0.0.1 -j ACCEPT

 

iptables -A OUTPUT -p udp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p udp -d 127.0.0.1 -j ACCEPT

 

iptables -A OUTPUT -p icmp -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT

 

Det burde vel fungere..

Er disse kommandoene bare for intern kommunikasjon ?

destination er localhost, men det er ikke satt noe source hvor det skal komme fra... kanskje også sette en -s 127.0.0.1

[Terrasque]

Ta to maskiner, A og B. Prøv å send en pakke til 127.0.0.1 fra maskin A til maskin B...

[Manuel]

iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Legg til en regel for OUTPUT i og med at du bruker en så aggressiv innstilling på brannveggen. Jeg tillater all utgående trafikk da jeg ikke er redd for spyware eller har noe behov for å begrense bruken av visse protokoller og porter (på utgående trafikk).

[DJViking]

iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Legg til en regel for OUTPUT i og med at du bruker en så aggressiv innstilling på brannveggen. Jeg tillater all utgående trafikk da jeg ikke er redd for spyware eller har noe behov for å begrense bruken av visse protokoller og porter (på utgående trafikk).

Jeg prøver å sette opp et system som er så sikkert som mulig.

[Langbein]

Jeg prøver å sette opp et system som er så sikkert som mulig.

Du vil bare gjøre det ekstremt knotete for deg selv ved å sperre for utgående trafikk. Hvordan skal du fange opp alle portnummer? Mange websider linker f.eks til andre sider som kjører på ikke-standard portnummer.

 

Personlig bruker jeg kun firewall-regler for INPUT

 

Spyware og denslags tull er et ukjent fenomen i GNU/Linux, og mye av grunnen til at folk bruker så strenge "personal firewall" produkter i Windows som også blocker utgående trafikk.

[DJViking]

Jeg prøver å sette opp et system som er så sikkert som mulig.

Du vil bare gjøre det ekstremt knotete for deg selv ved å sperre for utgående trafikk. Hvordan skal du fange opp alle portnummer? Mange websider linker f.eks til andre sider som kjører på ikke-standard portnummer.

 

Personlig bruker jeg kun firewall-regler for INPUT

 

Spyware og denslags tull er et ukjent fenomen i GNU/Linux, og mye av grunnen til at folk bruker så strenge "personal firewall" produkter i Windows som også blocker utgående trafikk.

Ja, stemmer vel at det ikke finnes noe spyware og slikt for Linux. Ennå...

Siden jeg ikke vet om oppførselen til alle programmene jeg bruker foretrekker jeg å ha kontrollen med hva som blir slippet ut OG hva som blir sendt ut.

 

Dette kan bli litt knotete når man kommer til en webside som ikke bruker standard portnr. Men dette problemet er jeg på søken etter en løsning på(en dynamisk løsning, dvs. noe som kan dektektere forsøk på å få tilgang til/fra en spesifisert port og så åpne tilgang til den, noe ala som ZoneAlarm, da IPTables(slikt jeg er erfaren med den) er statisk)

[DJViking]

La til følgende og da ordnet alt seg

iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

[Manuel]

La til følgende og da ordnet alt seg

iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

Som sagt

 

Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket

[DJViking]

La til følgende og da ordnet alt seg

iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

Som sagt

 

Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket

Slik?

iptables -A INPUT -p tcp -i eth0 -j ACCEPT

iptables -A OUTPUT -p tcp -i eth0 -j ACCEPT

[Manuel]

La til følgende og da ordnet alt seg

iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -p tcp -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

Som sagt

 

Legg heller inn enhetsnavnet. Loopback er loopback... Ikke noe for å sende til en annen enhet på nettverket

Slik?

iptables -A INPUT -p tcp -i eth0 -j ACCEPT

iptables -A OUTPUT -p tcp -i eth0 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -i lo -j ACCEPT

 

Tillater all utgående og inngående trafikk på lo-interfacet. Slik du satte det opp til å begynne med, tillater du all trafikk med kilde og destinasjon 127.0.0.1.... En liten feilfaktor hvis ip-adressene skulle endre seg :-)

[DJViking]

Hva er dette lo ?

Endret 25. september 2004 av DJViking

[Langbein]

Hva er dette lo ?

loopback, et slags virtuelt nic som bare brukes til kommunikasjon internt på pc'n

[DJViking]

Fikk problemer med å legge til OUTPUT -i lo

Edit: iptables v1.2.9: Can't use -i with OUTPUT