* [Comm] firewall
@ 2003-03-04 14:57 Denis G. Samsonenko
2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-05 8:33 ` Alex Yustasov
0 siblings, 2 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-04 14:57 UTC (permalink / raw)
To: Alt Community
[-- Attachment #1: Type: text/plain, Size: 687 bytes --]
Hi, All!
Прочитал я доументацию по iptables, найденную в
http://www.opennet.ru/docs/RUS/iptables/. Взял от туда файлик
rc.firewall, немного подправил (см. аттач) и воткнул на Мастер 2.0.
Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
помоему системе пофиг на это дело. Попробовал для теста
заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
рестартовал всё это дело, а на фтп как пускало, так и пускает
(проверял из локалки, так как наружу наша машина пока закрыта).
Посмотрите приаттаченный файл с правилами, пожалуйста, может я чего не
понял и пропустил. Я первый раз пробую firewall настроить.
Best regards,
Denis
----------
earthsea@ngs.ru
[-- Attachment #2: rc.firewall.inet_sharing-2.4.bz2 --]
[-- Type: application/octet-stream, Size: 2501 bytes --]
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
@ 2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-04 16:34 ` Oleg Lukashin
2003-03-05 6:38 ` Denis G. Samsonenko
2003-03-05 8:33 ` Alex Yustasov
1 sibling, 2 replies; 19+ messages in thread
From: Dmitry Alexeyev @ 2003-03-04 15:45 UTC (permalink / raw)
To: Denis G. Samsonenko
День добрый!
После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
# killall -1 inetd.
Дмитрий
DGS> Hi, All!
DGS> Прочитал я доументацию по iptables, найденную в
DGS> http://www.opennet.ru/docs/RUS/iptables/. Взял от туда файлик
DGS> rc.firewall, немного подправил (см. аттач) и воткнул на Мастер 2.0.
DGS> Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
DGS> помоему системе пофиг на это дело. Попробовал для теста
DGS> заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
DGS> рестартовал всё это дело, а на фтп как пускало, так и пускает
DGS> (проверял из локалки, так как наружу наша машина пока закрыта).
DGS> Посмотрите приаттаченный файл с правилами, пожалуйста, может я чего не
DGS> понял и пропустил. Я первый раз пробую firewall настроить.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-04 15:45 ` Dmitry Alexeyev
@ 2003-03-04 16:34 ` Oleg Lukashin
2003-03-04 16:57 ` Re[2]: " Dmitry Alexeyev
2003-03-05 6:38 ` Denis G. Samsonenko
1 sibling, 1 reply; 19+ messages in thread
From: Oleg Lukashin @ 2003-03-04 16:34 UTC (permalink / raw)
To: community
* Dmitry Alexeyev (dmi_a@qnx.org.ru) wrote:
> День добрый!
> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
>
> # killall -1 inetd.
Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
этом вопросе ?
--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-04 16:34 ` Oleg Lukashin
@ 2003-03-04 16:57 ` Dmitry Alexeyev
2003-03-04 17:23 ` Oleg Lukashin
2003-03-04 17:27 ` Maxim Tyurin
0 siblings, 2 replies; 19+ messages in thread
From: Dmitry Alexeyev @ 2003-03-04 16:57 UTC (permalink / raw)
To: Oleg Lukashin
>> День добрый!
>> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
>>
>> # killall -1 inetd.
OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
OL> этом вопросе ?
Поправьте меня, если я не прав, но мне всегда казалось, что правила
firewall акутальны только для вновь созданных сокетов. В случае с ftp
вышеуказанном примере сокеты слушаются демоном inetd.
Повторяюсь: могу быть не прав, но это первое, на что надо смотреть. А
уже потом изучать правила ipchains.
WBR,
Дмитрий
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: Re[2]: [Comm] firewall
2003-03-04 16:57 ` Re[2]: " Dmitry Alexeyev
@ 2003-03-04 17:23 ` Oleg Lukashin
2003-03-04 17:27 ` Maxim Tyurin
1 sibling, 0 replies; 19+ messages in thread
From: Oleg Lukashin @ 2003-03-04 17:23 UTC (permalink / raw)
To: community
* Dmitry Alexeyev (dmi_a@qnx.org.ru) wrote:
> >> День добрый!
> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> >>
> >> # killall -1 inetd.
>
> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
> OL> этом вопросе ?
>
> Поправьте меня, если я не прав, но мне всегда казалось, что правила
> firewall акутальны только для вновь созданных сокетов. В случае с ftp
> вышеуказанном примере сокеты слушаются демоном inetd.
>
> Повторяюсь: могу быть не прав, но это первое, на что надо смотреть. А
> уже потом изучать правила ipchains.
Очевидно что это не так.
Очень просто можно убедиться в этом добавлением вместо ACCEPT DENY (в
случае ipchains).
--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-04 16:57 ` Re[2]: " Dmitry Alexeyev
2003-03-04 17:23 ` Oleg Lukashin
@ 2003-03-04 17:27 ` Maxim Tyurin
2003-03-05 6:48 ` Re[2]: " Denis G. Samsonenko
1 sibling, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-04 17:27 UTC (permalink / raw)
To: Oleg Lukashin
On Tue, Mar 04, 2003 at 07:57:15PM +0300, Dmitry Alexeyev wrote:
> >> День добрый!
> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> >>
> >> # killall -1 inetd.
>
> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
> OL> этом вопросе ?
>
> Поправьте меня, если я не прав, но мне всегда казалось, что правила
> firewall акутальны только для вновь созданных сокетов. В случае с ftp
> вышеуказанном примере сокеты слушаются демоном inetd.
Не прав. iptables работает на более низком сетевом уровне. Курить
iptables tutorial :)
--
With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-04 16:34 ` Oleg Lukashin
@ 2003-03-05 6:38 ` Denis G. Samsonenko
1 sibling, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 6:38 UTC (permalink / raw)
To: Dmitry Alexeyev
Hi!
Tuesday, March 04, 2003, 9:45:51 PM, you wrote:
> День добрый!
> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> # killall -1 inetd.
killall -1 xinetd не помог.
Best regards,
Denis
----------
earthsea@ngs.ru
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-04 17:27 ` Maxim Tyurin
@ 2003-03-05 6:48 ` Denis G. Samsonenko
2003-03-05 7:18 ` Maxim Tyurin
0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 6:48 UTC (permalink / raw)
To: Maxim Tyurin
[-- Attachment #1: Type: text/plain, Size: 959 bytes --]
Hi!
Tuesday, March 04, 2003, 11:27:45 PM, you wrote:
>> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
>> >> # killall -1 inetd.
>> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
>> OL> этом вопросе ?
>> Поправьте меня, если я не прав, но мне всегда казалось, что правила
>> firewall акутальны только для вновь созданных сокетов. В случае с ftp
>> вышеуказанном примере сокеты слушаются демоном inetd.
> Не прав. iptables работает на более низком сетевом уровне. Курить
> iptables tutorial :)
Так всё же, в чём проблема-то кроется? Вроде всё делал по правилам,
или чего пропустил? Ядро надеюсь пересобирать не надо было?
Пробовал закомментировать строки разрешающие порты 21 и 80 (по
умолчанию запрещено всё, что явно не разрешено), но как пускало на ftp
и http, так и пускает.
Почему пакеты не фильтруются? Чего я мог пропустить?
В аттаче вывод iptables -L.
Best regards,
Denis
----------
earthsea@ngs.ru
[-- Attachment #2: iptables.txt --]
[-- Type: text/plain, Size: 2921 bytes --]
Chain INPUT (policy DROP)
target prot opt source destination
bad_tcp_packets tcp -- anywhere anywhere
ACCEPT all -- 10.1.0.0/16 anywhere
ACCEPT all -- localhost.localdomain anywhere
ACCEPT all -- cys.che.intra.net anywhere
ACCEPT all -- cys.che.nsk.su anywhere
ACCEPT all -- anywhere 10.1.255.255
ACCEPT all -- anywhere cys.che.nsk.su state RELATED,ESTABLISHED
tcp_packets tcp -- anywhere anywhere
udp_packets udp -- anywhere anywhere
icmp_packets icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
bad_tcp_packets tcp -- anywhere anywhere
ACCEPT all -- localhost.localdomain anywhere
ACCEPT all -- cys.che.intra.net anywhere
ACCEPT all -- cys.che.nsk.su anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '
Chain allowed (4 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere
Chain bad_tcp_packets (2 references)
target prot opt source destination
LOG tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
Chain icmp_packets (1 references)
target prot opt source destination
ACCEPT icmp -- 10.1.0.0/16 anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
Chain tcp_packets (1 references)
target prot opt source destination
allowed tcp -- anywhere anywhere tcp dpt:ftp
allowed tcp -- anywhere anywhere tcp dpt:ssh
allowed tcp -- anywhere anywhere tcp dpt:http
allowed tcp -- anywhere anywhere tcp dpt:auth
Chain udp_packets (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:ntp
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-05 6:48 ` Re[2]: " Denis G. Samsonenko
@ 2003-03-05 7:18 ` Maxim Tyurin
2003-03-05 8:40 ` Denis G. Samsonenko
0 siblings, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-05 7:18 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 671 bytes --]
> Пробовал закомментировать строки разрешающие порты 21 и 80 (по
> умолчанию запрещено всё, что явно не разрешено), но как пускало на ftp
> и http, так и пускает.
>
> Почему пакеты не фильтруются? Чего я мог пропустить?
У тебя первой строкой в INPUT - разрешить все новые соединения.
Читай iptables tutirial внимательно.
> Chain INPUT (policy DROP)
> target prot opt source destination
> bad_tcp_packets tcp -- anywhere anywhere
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Разрешаются все новые соединения
--
With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
2003-03-04 15:45 ` Dmitry Alexeyev
@ 2003-03-05 8:33 ` Alex Yustasov
2003-03-05 8:45 ` Denis G. Samsonenko
1 sibling, 1 reply; 19+ messages in thread
From: Alex Yustasov @ 2003-03-05 8:33 UTC (permalink / raw)
To: Alt Community
On Tue, Mar 04, 2003 at 08:57:49PM +0600, Denis G. Samsonenko wrote:
> Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
> помоему системе пофиг на это дело. Попробовал для теста
> заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
> рестартовал всё это дело, а на фтп как пускало, так и пускает
> (проверял из локалки, так как наружу наша машина пока закрыта).
^^^^^^^
Может я ошибаюсь, но у Вас для локальной сети все разрешено.
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
Там же есть скрипт rc.UTIN - когда не доверяем локальной сети.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-05 7:18 ` Maxim Tyurin
@ 2003-03-05 8:40 ` Denis G. Samsonenko
2003-03-05 9:33 ` Maxim Tyurin
0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 8:40 UTC (permalink / raw)
To: community
Привет!
On Wed, 5 Mar 2003 09:18:43 +0200
Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:
> У тебя первой строкой в INPUT - разрешить все новые
> соединения.
> Читай iptables tutirial внимательно.
> > Chain INPUT (policy DROP)
> > target prot opt source destination
> > bad_tcp_packets tcp -- anywhere anywhere
> Разрешаются все новые соединения
На сколько я понял, прочитав доки, tcp пакеты здесь
отправляются в цепочку bad_tcp_packets и там проверяются на
соответствующие флаги. То, что в этой цепочке не
отбрасывается, возвращается в INPUT, по достижении конца
bad_tcp_packets.
Далее, через несколько правил, tcp пакеты идут в цепочку
tcp_packets и там отсеиваются по портам (разрешены 21, 22,
80, 113) и поступают в цепочку allowed, где происходит
последняя проверка. Пакеты, предназначенные для других
портов, возвращаются в INPUT, а там им приходит DROP из-за
политики по умолчанию.
Вот, вроде бы так. Или я что-то путаю?
Best regards,
Denis.
----------
earthsea@ngs.ru
____________________________________________________________
Новое на НГС:
12 марта День рождения НГС! Приглашаем в клуб RockCity. Начало в 19.00. Подробности по адресу
http://www.stonehouse.ru/news/56512/
http://auction.ngs.ru - НГС Аукцион!
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-05 8:33 ` Alex Yustasov
@ 2003-03-05 8:45 ` Denis G. Samsonenko
0 siblings, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 8:45 UTC (permalink / raw)
To: community
Hi!
On Wed, 5 Mar 2003 10:33:53 +0200
Alex Yustasov <snmon@server.by> wrote:
...
> > (проверял из локалки, так как наружу наша машина пока
> закрыта).
> ^^^^^^^
> Может я ошибаюсь, но у Вас для локальной сети все
> разрешено.
>
> $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE
> -j ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d
> $LAN_BROADCAST_ADDRESS -j ACCEPT
>
> Там же есть скрипт rc.UTIN - когда не доверяем локальной
> сети.
Кажется понял. Спасибо. Буду думать дальше.
Best regards,
Denis.
----------
earthsea@ngs.ru
____________________________________________________________
Новое на НГС:
12 марта День рождения НГС! Приглашаем в клуб RockCity. Начало в 19.00. Подробности по адресу
http://www.stonehouse.ru/news/56512/
http://auction.ngs.ru - НГС Аукцион!
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-05 8:40 ` Denis G. Samsonenko
@ 2003-03-05 9:33 ` Maxim Tyurin
2003-03-05 12:59 ` Re[2]: " Denis G. Samsonenko
0 siblings, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-05 9:33 UTC (permalink / raw)
To: community
On Wed, Mar 05, 2003 at 02:40:50PM +0600, Denis G. Samsonenko wrote:
> Привет!
>
> On Wed, 5 Mar 2003 09:18:43 +0200
> Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:
> > У тебя первой строкой в INPUT - разрешить все новые
> > соединения.
> > Читай iptables tutirial внимательно.
> > > Chain INPUT (policy DROP)
> > > target prot opt source destination
> > > bad_tcp_packets tcp -- anywhere anywhere
> > Разрешаются все новые соединения
У тебя сначала цепочки INPUT разрешается куча соединений. До
tcp_packets наверное даже не доходит.
Пришли вывод
iptables -L --line-numbers -v
(можно приватом) разберемся.
Или в джаббер постучи - быстрее будет.
--
With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-05 9:33 ` Maxim Tyurin
@ 2003-03-05 12:59 ` Denis G. Samsonenko
2003-03-05 13:04 ` Vitaly Ostanin
2003-03-05 13:30 ` Antonio
0 siblings, 2 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 12:59 UTC (permalink / raw)
To: Maxim Tyurin; +Cc: Alt Community
[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]
Hi!
Wednesday, March 05, 2003, 3:33:56 PM, you wrote:
> У тебя сначала цепочки INPUT разрешается куча соединений. До
> tcp_packets наверное даже не доходит.
Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
При этом ftp похоже вообще не дожидается ответа.
Когда уже по ssh соединение установилось, то дальше работает
нормально, без тормозов. Т.е. тормозит только при коннекте.
Ещё команда iptables -L как-то тоже тормозит, выдаёт часть списка,
замирает где-то на пол минуты и потом выдаёт остаток.
С чем это может быть связано?
> Пришли вывод
> iptables -L --line-numbers -v
> (можно приватом) разберемся.
Положил в аттач.
> Или в джаббер постучи - быстрее будет.
Джаббера у меня нету и пользоваться им не умею. Но есть аська, правда
я ей почти не пользуюсь, номер такой: 50434180.
Best regards,
Denis
----------
earthsea@ngs.ru
[-- Attachment #2: ipt.txt --]
[-- Type: text/plain, Size: 3829 bytes --]
iptables -L --line-numbers -v
Chain INPUT (policy DROP 79 packets, 15618 bytes)
num pkts bytes target prot opt in out source destination
1 177 13260 bad_tcp_packets tcp -- any any anywhere anywhere
2 0 0 ACCEPT all -- lo any localhost.localdomain anywhere
3 0 0 ACCEPT all -- lo any cys.che.intra.net anywhere
4 2 190 ACCEPT all -- lo any cys.che.nsk.su anywhere
5 177 13260 tcp_packets tcp -- any any anywhere anywhere
6 71 14730 udp_packets udp -- any any anywhere anywhere
7 2 120 icmp_packets icmp -- any any anywhere anywhere
8 5 800 LOG all -- any any anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 212 13428 bad_tcp_packets tcp -- any any anywhere anywhere
2 0 0 ACCEPT all -- any any localhost.localdomain anywhere
3 216 13682 ACCEPT all -- any any cys.che.intra.net anywhere
4 4 324 ACCEPT all -- any any cys.che.nsk.su anywhere
5 0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '
Chain allowed (4 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN
2 169 12372 ACCEPT tcp -- any any anywhere anywhere state RELATED,ESTABLISHED
3 0 0 DROP tcp -- any any anywhere anywhere
Chain bad_tcp_packets (2 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG tcp -- any any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
2 0 0 DROP tcp -- any any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
Chain icmp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 2 120 ACCEPT icmp -- any any 10.1.0.0/16 anywhere icmp echo-request
2 0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded
Chain tcp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 allowed tcp -- any any anywhere anywhere tcp dpt:ftp
2 169 12372 allowed tcp -- any any anywhere anywhere tcp dpt:ssh
3 0 0 allowed tcp -- any any anywhere anywhere tcp dpt:http
4 0 0 allowed tcp -- any any anywhere anywhere tcp dpt:auth
Chain udp_packets (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT udp -- any any anywhere anywhere udp spt:ntp
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: Re[2]: [Comm] firewall
2003-03-05 12:59 ` Re[2]: " Denis G. Samsonenko
@ 2003-03-05 13:04 ` Vitaly Ostanin
2003-03-05 13:30 ` Antonio
1 sibling, 0 replies; 19+ messages in thread
From: Vitaly Ostanin @ 2003-03-05 13:04 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 984 bytes --]
On Wed, 5 Mar 2003 18:59:19 +0600
"Denis G. Samsonenko" <earthsea@ngs.ru> wrote:
> Hi!
>
> Wednesday, March 05, 2003, 3:33:56 PM, you wrote:
> > У тебя сначала цепочки INPUT разрешается куча соединений. До
> > tcp_packets наверное даже не доходит.
>
> Я уже взял за основу rc.UTIN.firewall, немного его подправив.
> Теперь вроде всё правильно. Вот только что-то стало круто
> тормозить, т.е. при коннекте по ssh и ftp происходит довольно
> ощутимая задежка, до минуты. При этом ftp похоже вообще не
> дожидается ответа.
>
> Когда уже по ssh соединение установилось, то дальше работает
> нормально, без тормозов. Т.е. тормозит только при коннекте.
>
> Ещё команда iptables -L как-то тоже тормозит, выдаёт часть
> списка, замирает где-то на пол минуты и потом выдаёт остаток.
>
> С чем это может быть связано?
С разрешением имён DNS. Без имён можно смотреть
iptables -nL
<skipped/>
--
Regards, Vyt
mailto: vyt@vzljot.ru
JID: vyt@vzljot.ru
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-05 12:59 ` Re[2]: " Denis G. Samsonenko
2003-03-05 13:04 ` Vitaly Ostanin
@ 2003-03-05 13:30 ` Antonio
2003-03-05 13:36 ` Re[3]: " Denis G. Samsonenko
1 sibling, 1 reply; 19+ messages in thread
From: Antonio @ 2003-03-05 13:30 UTC (permalink / raw)
To: Alt Community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Wed, 5 Mar 2003, Denis G. Samsonenko wrote:
> Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
> вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
> коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
> При этом ftp похоже вообще не дожидается ответа.
>
> Когда уже по ssh соединение установилось, то дальше работает
> нормально, без тормозов. Т.е. тормозит только при коннекте.
Типичное поведение, когда сервер не может разрешить обратную
зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
наружу?
P.S. Конкретно по iptables не скажу (\noflame{предпочитаю
OpenBSD-шный Packet Filter}).
- --
Best regards,
Tony. mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)
iD8DBQE+Zfv82gaLrWRbr5URAryxAJ41c/0y0P2c92jv3AentqP12gzgFwCfUmfP
nnCr9otctevwYGC+NdO/vk4=
=+lWZ
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[3]: [Comm] firewall
2003-03-05 13:30 ` Antonio
@ 2003-03-05 13:36 ` Denis G. Samsonenko
2003-03-06 8:00 ` Andrei M. Laptev
0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 13:36 UTC (permalink / raw)
To: Antonio
Hi!
Wednesday, March 05, 2003, 7:30:33 PM, you wrote:
>> Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
>> вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
>> коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
>> При этом ftp похоже вообще не дожидается ответа.
>> Когда уже по ssh соединение установилось, то дальше работает
>> нормально, без тормозов. Т.е. тормозит только при коннекте.
> Типичное поведение, когда сервер не может разрешить обратную
> зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
> наружу?
Похоже на то. Разрешил порт 53 и ssh стал коннектиться без задержек.
Вот только ftp так и не удаётся законнектить:
ftp> open cys.che.intra.net
Связь с cys.che.intra.net.
220 Welcome to MILL FTP service.
Пользователь (cys.che.intra.net:(none)): anonymous
331 Please specify the password.
Пароль:
230 Login successful. Have fun.
ftp> ls
200 PORT command successful. Consider using PASV.
425 Failed to establish connection.
ftp>
С самого хоста на себя ftp ходит нормально.
Best regards,
Denis
----------
earthsea@ngs.ru
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] firewall
2003-03-05 13:36 ` Re[3]: " Denis G. Samsonenko
@ 2003-03-06 8:00 ` Andrei M. Laptev
2003-03-06 14:40 ` Re[2]: " Denis G. Samsonenko
0 siblings, 1 reply; 19+ messages in thread
From: Andrei M. Laptev @ 2003-03-06 8:00 UTC (permalink / raw)
To: community
Denis G. Samsonenko пишет:
>>Типичное поведение, когда сервер не может разрешить обратную
>>зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
>>наружу?
>>
>>
>
>Похоже на то. Разрешил порт 53 и ssh стал коннектиться без задержек.
>
>
А еще возможны проблемы с сервисом на 113 порту - auth, если его у тебя
нет,
то может быть лучше на эти порты поставить не DROP, а REJECT.
>Вот только ftp так и не удаётся законнектить:
>
>ftp> open cys.che.intra.net
>Связь с cys.che.intra.net.
>220 Welcome to MILL FTP service.
>Пользователь (cys.che.intra.net:(none)): anonymous
>331 Please specify the password.
>Пароль:
>230 Login successful. Have fun.
>ftp> ls
>200 PORT command successful. Consider using PASV.
>425 Failed to establish connection.
>ftp>
>
>
>
А вот с фтп наверное нужно смотреть на предмет загрузки модулей ip_conntrack
--
С уважением,
Лаптев Андрей
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] firewall
2003-03-06 8:00 ` Andrei M. Laptev
@ 2003-03-06 14:40 ` Denis G. Samsonenko
0 siblings, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-06 14:40 UTC (permalink / raw)
To: Andrei M. Laptev
Hi!
Thursday, March 06, 2003, 2:00:13 PM, you wrote:
> А еще возможны проблемы с сервисом на 113 порту - auth, если его у тебя
> нет,
> то может быть лучше на эти порты поставить не DROP, а REJECT.
113 у меня разрешён.
> А вот с фтп наверное нужно смотреть на предмет загрузки модулей ip_conntrack
С фтп я разобрался. Там просто надо вставить ACCEPT для уже
установленных соединений перед отсылкой на проверку порта. У нас фтп
пассивный, а без указанного правила пускал только на 21 порт.
В общем разобрался я более менее в этом вопросе. Спасибо всем за
отклики и помощь.
Best regards,
Denis
----------
earthsea@ngs.ru
^ permalink raw reply [flat|nested] 19+ messages in thread
end of thread, other threads:[~2003-03-06 14:40 UTC | newest]
Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-04 16:34 ` Oleg Lukashin
2003-03-04 16:57 ` Re[2]: " Dmitry Alexeyev
2003-03-04 17:23 ` Oleg Lukashin
2003-03-04 17:27 ` Maxim Tyurin
2003-03-05 6:48 ` Re[2]: " Denis G. Samsonenko
2003-03-05 7:18 ` Maxim Tyurin
2003-03-05 8:40 ` Denis G. Samsonenko
2003-03-05 9:33 ` Maxim Tyurin
2003-03-05 12:59 ` Re[2]: " Denis G. Samsonenko
2003-03-05 13:04 ` Vitaly Ostanin
2003-03-05 13:30 ` Antonio
2003-03-05 13:36 ` Re[3]: " Denis G. Samsonenko
2003-03-06 8:00 ` Andrei M. Laptev
2003-03-06 14:40 ` Re[2]: " Denis G. Samsonenko
2003-03-05 6:38 ` Denis G. Samsonenko
2003-03-05 8:33 ` Alex Yustasov
2003-03-05 8:45 ` Denis G. Samsonenko
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git