ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] firewall
@ 2003-03-04 14:57 Denis G. Samsonenko
  2003-03-04 15:45 ` Dmitry Alexeyev
  2003-03-05  8:33 ` Alex Yustasov
  0 siblings, 2 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-04 14:57 UTC (permalink / raw)
  To: Alt Community

[-- Attachment #1: Type: text/plain, Size: 687 bytes --]

Hi, All!

Прочитал я доументацию по iptables, найденную в
http://www.opennet.ru/docs/RUS/iptables/. Взял от туда файлик
rc.firewall, немного подправил (см. аттач) и воткнул на Мастер 2.0.

Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
помоему системе пофиг на это дело. Попробовал для теста
заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
рестартовал всё это дело, а на фтп как пускало, так и пускает
(проверял из локалки, так как наружу наша машина пока закрыта).

Посмотрите приаттаченный файл с правилами, пожалуйста, может я чего не
понял и пропустил. Я первый раз пробую firewall настроить.

Best regards,

Denis

----------
earthsea@ngs.ru

[-- Attachment #2: rc.firewall.inet_sharing-2.4.bz2 --]
[-- Type: application/octet-stream, Size: 2501 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
@ 2003-03-04 15:45 ` Dmitry Alexeyev
  2003-03-04 16:34   ` Oleg Lukashin
  2003-03-05  6:38   ` Denis G. Samsonenko
  2003-03-05  8:33 ` Alex Yustasov
  1 sibling, 2 replies; 19+ messages in thread
From: Dmitry Alexeyev @ 2003-03-04 15:45 UTC (permalink / raw)
  To: Denis G. Samsonenko

День добрый!
После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:

# killall -1 inetd.

Дмитрий

DGS> Hi, All!

DGS> Прочитал я доументацию по iptables, найденную в
DGS> http://www.opennet.ru/docs/RUS/iptables/. Взял от туда файлик
DGS> rc.firewall, немного подправил (см. аттач) и воткнул на Мастер 2.0.

DGS> Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
DGS> помоему системе пофиг на это дело. Попробовал для теста
DGS> заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
DGS> рестартовал всё это дело, а на фтп как пускало, так и пускает
DGS> (проверял из локалки, так как наружу наша машина пока закрыта).

DGS> Посмотрите приаттаченный файл с правилами, пожалуйста, может я чего не
DGS> понял и пропустил. Я первый раз пробую firewall настроить.



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-04 15:45 ` Dmitry Alexeyev
@ 2003-03-04 16:34   ` Oleg Lukashin
  2003-03-04 16:57     ` Re[2]: " Dmitry Alexeyev
  2003-03-05  6:38   ` Denis G. Samsonenko
  1 sibling, 1 reply; 19+ messages in thread
From: Oleg Lukashin @ 2003-03-04 16:34 UTC (permalink / raw)
  To: community

* Dmitry Alexeyev (dmi_a@qnx.org.ru) wrote:
> День добрый!
> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> 
> # killall -1 inetd.

Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
этом вопросе ?

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-04 16:34   ` Oleg Lukashin
@ 2003-03-04 16:57     ` Dmitry Alexeyev
  2003-03-04 17:23       ` Oleg Lukashin
  2003-03-04 17:27       ` Maxim Tyurin
  0 siblings, 2 replies; 19+ messages in thread
From: Dmitry Alexeyev @ 2003-03-04 16:57 UTC (permalink / raw)
  To: Oleg Lukashin

>> День добрый!
>> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
>> 
>> # killall -1 inetd.

OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
OL> этом вопросе ?

Поправьте меня, если я не прав, но мне всегда казалось, что правила
firewall акутальны только для вновь созданных сокетов. В случае с ftp
вышеуказанном примере сокеты слушаются демоном inetd.

Повторяюсь: могу быть не прав, но это первое, на что надо смотреть. А
уже потом изучать правила ipchains.

WBR,
Дмитрий



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: Re[2]: [Comm] firewall
  2003-03-04 16:57     ` Re[2]: " Dmitry Alexeyev
@ 2003-03-04 17:23       ` Oleg Lukashin
  2003-03-04 17:27       ` Maxim Tyurin
  1 sibling, 0 replies; 19+ messages in thread
From: Oleg Lukashin @ 2003-03-04 17:23 UTC (permalink / raw)
  To: community

* Dmitry Alexeyev (dmi_a@qnx.org.ru) wrote:
> >> День добрый!
> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> >> 
> >> # killall -1 inetd.
> 
> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
> OL> этом вопросе ?
> 
> Поправьте меня, если я не прав, но мне всегда казалось, что правила
> firewall акутальны только для вновь созданных сокетов. В случае с ftp
> вышеуказанном примере сокеты слушаются демоном inetd.
> 
> Повторяюсь: могу быть не прав, но это первое, на что надо смотреть. А
> уже потом изучать правила ipchains.

Очевидно что это не так.
Очень просто можно убедиться в этом добавлением вместо ACCEPT DENY (в
случае ipchains).

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-04 16:57     ` Re[2]: " Dmitry Alexeyev
  2003-03-04 17:23       ` Oleg Lukashin
@ 2003-03-04 17:27       ` Maxim Tyurin
  2003-03-05  6:48         ` Re[2]: " Denis G. Samsonenko
  1 sibling, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-04 17:27 UTC (permalink / raw)
  To: Oleg Lukashin

On Tue, Mar 04, 2003 at 07:57:15PM +0300, Dmitry Alexeyev wrote:
> >> День добрый!
> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
> >> 
> >> # killall -1 inetd.
> 
> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
> OL> этом вопросе ?
> 
> Поправьте меня, если я не прав, но мне всегда казалось, что правила
> firewall акутальны только для вновь созданных сокетов. В случае с ftp
> вышеуказанном примере сокеты слушаются демоном inetd.

Не прав. iptables работает на более низком сетевом уровне. Курить
iptables tutorial :)
-- 

With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID:	MrKooll@jabber.pibhe.com
			


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-04 15:45 ` Dmitry Alexeyev
  2003-03-04 16:34   ` Oleg Lukashin
@ 2003-03-05  6:38   ` Denis G. Samsonenko
  1 sibling, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05  6:38 UTC (permalink / raw)
  To: Dmitry Alexeyev

Hi!

Tuesday, March 04, 2003, 9:45:51 PM, you wrote:
> День добрый!
> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:

> # killall -1 inetd.

killall -1 xinetd не помог.


Best regards,

Denis

----------
earthsea@ngs.ru




^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-04 17:27       ` Maxim Tyurin
@ 2003-03-05  6:48         ` Denis G. Samsonenko
  2003-03-05  7:18           ` Maxim Tyurin
  0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05  6:48 UTC (permalink / raw)
  To: Maxim Tyurin

[-- Attachment #1: Type: text/plain, Size: 959 bytes --]

Hi!

Tuesday, March 04, 2003, 11:27:45 PM, you wrote:
>> >> После рестарта firewall необходимо перезапусть _все_ сервисы, т.е.:
>> >> # killall -1 inetd.
>> OL> Бред какой-то. Как сервисы могут быть связаны с политикой ядра в
>> OL> этом вопросе ?
>> Поправьте меня, если я не прав, но мне всегда казалось, что правила
>> firewall акутальны только для вновь созданных сокетов. В случае с ftp
>> вышеуказанном примере сокеты слушаются демоном inetd.
> Не прав. iptables работает на более низком сетевом уровне. Курить
> iptables tutorial :)

Так всё же, в чём проблема-то кроется? Вроде всё делал по правилам,
или чего пропустил? Ядро надеюсь пересобирать не надо было?

Пробовал закомментировать строки разрешающие порты 21 и 80 (по
умолчанию запрещено всё, что явно не разрешено), но как пускало на ftp
и http, так и пускает.

Почему пакеты не фильтруются? Чего я мог пропустить?

В аттаче вывод iptables -L.

Best regards,

Denis

----------
earthsea@ngs.ru

[-- Attachment #2: iptables.txt --]
[-- Type: text/plain, Size: 2921 bytes --]

Chain INPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  anywhere             anywhere           
ACCEPT     all  --  10.1.0.0/16          anywhere           
ACCEPT     all  --  localhost.localdomain  anywhere           
ACCEPT     all  --  cys.che.intra.net    anywhere           
ACCEPT     all  --  cys.che.nsk.su       anywhere           
ACCEPT     all  --  anywhere             10.1.255.255       
ACCEPT     all  --  anywhere             cys.che.nsk.su     state RELATED,ESTABLISHED 
tcp_packets  tcp  --  anywhere             anywhere           
udp_packets  udp  --  anywhere             anywhere           
icmp_packets  icmp --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: ' 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  anywhere             anywhere           
ACCEPT     all  --  localhost.localdomain  anywhere           
ACCEPT     all  --  cys.che.intra.net    anywhere           
ACCEPT     all  --  cys.che.nsk.su       anywhere           
LOG        all  --  anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: ' 

Chain allowed (4 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere           

Chain bad_tcp_packets (2 references)
target     prot opt source               destination         
LOG        tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:' 
DROP       tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW 

Chain icmp_packets (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  10.1.0.0/16          anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           icmp time-exceeded 

Chain tcp_packets (1 references)
target     prot opt source               destination         
allowed    tcp  --  anywhere             anywhere           tcp dpt:ftp 
allowed    tcp  --  anywhere             anywhere           tcp dpt:ssh 
allowed    tcp  --  anywhere             anywhere           tcp dpt:http 
allowed    tcp  --  anywhere             anywhere           tcp dpt:auth 

Chain udp_packets (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere           udp dpt:ntp 

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-05  6:48         ` Re[2]: " Denis G. Samsonenko
@ 2003-03-05  7:18           ` Maxim Tyurin
  2003-03-05  8:40             ` Denis G. Samsonenko
  0 siblings, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-05  7:18 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 671 bytes --]

> Пробовал закомментировать строки разрешающие порты 21 и 80 (по
> умолчанию запрещено всё, что явно не разрешено), но как пускало на ftp
> и http, так и пускает.
> 
> Почему пакеты не фильтруются? Чего я мог пропустить?

У тебя первой строкой в INPUT - разрешить все новые соединения.
Читай iptables tutirial внимательно.
> Chain INPUT (policy DROP)
> target     prot opt source               destination         
> bad_tcp_packets  tcp  --  anywhere             anywhere           
                            ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Разрешаются все новые соединения

-- 

With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
  2003-03-04 15:45 ` Dmitry Alexeyev
@ 2003-03-05  8:33 ` Alex Yustasov
  2003-03-05  8:45   ` Denis G. Samsonenko
  1 sibling, 1 reply; 19+ messages in thread
From: Alex Yustasov @ 2003-03-05  8:33 UTC (permalink / raw)
  To: Alt Community

On Tue, Mar 04, 2003 at 08:57:49PM +0600, Denis G. Samsonenko wrote:
> Все вроде отрабатывает. iptables -L выдаёт искомую таблицу. Вот только
> помоему системе пофиг на это дело. Попробовал для теста
> заомментировать строку, разрешающую порт 21 (т.е. запретил ftp),
> рестартовал всё это дело, а на фтп как пускало, так и пускает
> (проверял из локалки, так как наружу наша машина пока закрыта).
               ^^^^^^^
Может я ошибаюсь, но у Вас для локальной сети все разрешено.

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

Там же есть скрипт rc.UTIN - когда не доверяем локальной сети.



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-05  7:18           ` Maxim Tyurin
@ 2003-03-05  8:40             ` Denis G. Samsonenko
  2003-03-05  9:33               ` Maxim Tyurin
  0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05  8:40 UTC (permalink / raw)
  To: community

Привет!

On Wed, 5 Mar 2003 09:18:43 +0200
 Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:
> У тебя первой строкой в INPUT - разрешить все новые
> соединения.
> Читай iptables tutirial внимательно.
> > Chain INPUT (policy DROP)
> > target     prot opt source               destination
> > bad_tcp_packets  tcp  --  anywhere             anywhere
> Разрешаются все новые соединения

На сколько я понял, прочитав доки, tcp пакеты здесь
отправляются в цепочку bad_tcp_packets и там проверяются на
соответствующие флаги. То, что в этой цепочке не
отбрасывается, возвращается в INPUT, по достижении конца
bad_tcp_packets.

Далее, через несколько правил, tcp пакеты идут в цепочку
tcp_packets и там отсеиваются по портам (разрешены 21, 22,
80, 113) и поступают в цепочку allowed, где происходит
последняя проверка. Пакеты, предназначенные для других
портов, возвращаются в INPUT, а там им приходит DROP из-за
политики по умолчанию.

Вот, вроде бы так. Или я что-то путаю? 

Best regards,

Denis.

----------
earthsea@ngs.ru
____________________________________________________________
Новое на НГС:
12 марта День рождения НГС! Приглашаем в клуб RockCity. Начало в 19.00. Подробности по адресу
http://www.stonehouse.ru/news/56512/

http://auction.ngs.ru - НГС Аукцион! 


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-05  8:33 ` Alex Yustasov
@ 2003-03-05  8:45   ` Denis G. Samsonenko
  0 siblings, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05  8:45 UTC (permalink / raw)
  To: community

Hi!

On Wed, 5 Mar 2003 10:33:53 +0200
 Alex Yustasov <snmon@server.by> wrote:
...
> > (проверял из локалки, так как наружу наша машина пока
> закрыта).
>                ^^^^^^^
> Может я ошибаюсь, но у Вас для локальной сети все
> разрешено.
> 
> $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE
> -j ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j
> ACCEPT
> $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d
> $LAN_BROADCAST_ADDRESS -j ACCEPT
> 
> Там же есть скрипт rc.UTIN - когда не доверяем локальной
> сети.

Кажется понял. Спасибо. Буду думать дальше.
 

Best regards,

Denis.

----------
earthsea@ngs.ru
____________________________________________________________
Новое на НГС:
12 марта День рождения НГС! Приглашаем в клуб RockCity. Начало в 19.00. Подробности по адресу
http://www.stonehouse.ru/news/56512/

http://auction.ngs.ru - НГС Аукцион! 


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-05  8:40             ` Denis G. Samsonenko
@ 2003-03-05  9:33               ` Maxim Tyurin
  2003-03-05 12:59                 ` Re[2]: " Denis G. Samsonenko
  0 siblings, 1 reply; 19+ messages in thread
From: Maxim Tyurin @ 2003-03-05  9:33 UTC (permalink / raw)
  To: community

On Wed, Mar 05, 2003 at 02:40:50PM +0600, Denis G. Samsonenko wrote:
> Привет!
> 
> On Wed, 5 Mar 2003 09:18:43 +0200
>  Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:
> > У тебя первой строкой в INPUT - разрешить все новые
> > соединения.
> > Читай iptables tutirial внимательно.
> > > Chain INPUT (policy DROP)
> > > target     prot opt source               destination
> > > bad_tcp_packets  tcp  --  anywhere             anywhere
> > Разрешаются все новые соединения
У тебя сначала цепочки INPUT разрешается куча соединений. До
tcp_packets наверное даже не доходит.

Пришли вывод 
iptables -L --line-numbers -v
(можно приватом) разберемся.
Или в джаббер постучи - быстрее будет.
-- 

With Best Regards, Maxim Tyurin
mailto: MrKooll@mail.ru
JID:	MrKooll@jabber.pibhe.com
			


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-05  9:33               ` Maxim Tyurin
@ 2003-03-05 12:59                 ` Denis G. Samsonenko
  2003-03-05 13:04                   ` Vitaly Ostanin
  2003-03-05 13:30                   ` Antonio
  0 siblings, 2 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 12:59 UTC (permalink / raw)
  To: Maxim Tyurin; +Cc: Alt Community

[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]

Hi!

Wednesday, March 05, 2003, 3:33:56 PM, you wrote:
> У тебя сначала цепочки INPUT разрешается куча соединений. До
> tcp_packets наверное даже не доходит.

Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
При этом ftp похоже вообще не дожидается ответа.

Когда уже по ssh соединение установилось, то дальше работает
нормально, без тормозов. Т.е. тормозит только при коннекте.

Ещё команда iptables -L как-то тоже тормозит, выдаёт часть списка,
замирает где-то на пол минуты и потом выдаёт остаток.

С чем это может быть связано?

> Пришли вывод 
> iptables -L --line-numbers -v
> (можно приватом) разберемся.

Положил в аттач.

> Или в джаббер постучи - быстрее будет.

Джаббера у меня нету и пользоваться им не умею. Но есть аська, правда
я ей почти не пользуюсь, номер такой: 50434180.

Best regards,

Denis

----------
earthsea@ngs.ru

[-- Attachment #2: ipt.txt --]
[-- Type: text/plain, Size: 3829 bytes --]

iptables -L --line-numbers -v

Chain INPUT (policy DROP 79 packets, 15618 bytes)
num   pkts bytes target     prot opt in     out     source               destination      
1      177 13260 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere   
2        0     0 ACCEPT     all  --  lo     any     localhost.localdomain  anywhere       
3        0     0 ACCEPT     all  --  lo     any     cys.che.intra.net    anywhere         
4        2   190 ACCEPT     all  --  lo     any     cys.che.nsk.su       anywhere         
5      177 13260 tcp_packets  tcp  --  any    any     anywhere             anywhere       
6       71 14730 udp_packets  udp  --  any    any     anywhere             anywhere       
7        2   120 icmp_packets  icmp --  any    any     anywhere             anywhere      
8        5   800 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination      

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination      
1      212 13428 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere   
2        0     0 ACCEPT     all  --  any    any     localhost.localdomain  anywhere       
3      216 13682 ACCEPT     all  --  any    any     cys.che.intra.net    anywhere         
4        4   324 ACCEPT     all  --  any    any     cys.che.nsk.su       anywhere         
5        0     0 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '

Chain allowed (4 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN
2      169 12372 ACCEPT     tcp  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
3        0     0 DROP       tcp  --  any    any     anywhere             anywhere         

Chain bad_tcp_packets (2 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
2        0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW

Chain icmp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      

1        2   120 ACCEPT     icmp --  any    any     10.1.0.0/16          anywhere           icmp echo-request
2        0     0 ACCEPT     icmp --  any    any     anywhere             anywhere           icmp time-exceeded

Chain tcp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ftp
2      169 12372 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh
3        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:http
4        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:auth

Chain udp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     udp  --  any    any     anywhere             anywhere           udp spt:ntp

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: Re[2]: [Comm] firewall
  2003-03-05 12:59                 ` Re[2]: " Denis G. Samsonenko
@ 2003-03-05 13:04                   ` Vitaly Ostanin
  2003-03-05 13:30                   ` Antonio
  1 sibling, 0 replies; 19+ messages in thread
From: Vitaly Ostanin @ 2003-03-05 13:04 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 984 bytes --]

On Wed, 5 Mar 2003 18:59:19 +0600
"Denis G. Samsonenko" <earthsea@ngs.ru> wrote:

> Hi!
> 
> Wednesday, March 05, 2003, 3:33:56 PM, you wrote:
> > У тебя сначала цепочки INPUT разрешается куча соединений. До
> > tcp_packets наверное даже не доходит.
> 
> Я уже взял за основу rc.UTIN.firewall, немного его подправив.
> Теперь вроде всё правильно. Вот только что-то стало круто
> тормозить, т.е. при коннекте по ssh и ftp происходит довольно
> ощутимая задежка, до минуты. При этом ftp похоже вообще не
> дожидается ответа.
> 
> Когда уже по ssh соединение установилось, то дальше работает
> нормально, без тормозов. Т.е. тормозит только при коннекте.
> 
> Ещё команда iptables -L как-то тоже тормозит, выдаёт часть
> списка, замирает где-то на пол минуты и потом выдаёт остаток.
> 
> С чем это может быть связано?

С разрешением имён DNS. Без имён можно смотреть
iptables -nL

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-05 12:59                 ` Re[2]: " Denis G. Samsonenko
  2003-03-05 13:04                   ` Vitaly Ostanin
@ 2003-03-05 13:30                   ` Antonio
  2003-03-05 13:36                     ` Re[3]: " Denis G. Samsonenko
  1 sibling, 1 reply; 19+ messages in thread
From: Antonio @ 2003-03-05 13:30 UTC (permalink / raw)
  To: Alt Community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wed, 5 Mar 2003, Denis G. Samsonenko wrote:

> Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
> вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
> коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
> При этом ftp похоже вообще не дожидается ответа.
>
> Когда уже по ssh соединение установилось, то дальше работает
> нормально, без тормозов. Т.е. тормозит только при коннекте.

Типичное поведение, когда сервер не может разрешить обратную
зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
наружу?

P.S. Конкретно по iptables не скажу (\noflame{предпочитаю
OpenBSD-шный Packet Filter}).

- -- 
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE+Zfv82gaLrWRbr5URAryxAJ41c/0y0P2c92jv3AentqP12gzgFwCfUmfP
nnCr9otctevwYGC+NdO/vk4=
=+lWZ
-----END PGP SIGNATURE-----




^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[3]: [Comm] firewall
  2003-03-05 13:30                   ` Antonio
@ 2003-03-05 13:36                     ` Denis G. Samsonenko
  2003-03-06  8:00                       ` Andrei M. Laptev
  0 siblings, 1 reply; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-05 13:36 UTC (permalink / raw)
  To: Antonio

Hi!

Wednesday, March 05, 2003, 7:30:33 PM, you wrote:
>> Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
>> вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
>> коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
>> При этом ftp похоже вообще не дожидается ответа.
>> Когда уже по ssh соединение установилось, то дальше работает
>> нормально, без тормозов. Т.е. тормозит только при коннекте.

> Типичное поведение, когда сервер не может разрешить обратную
> зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
> наружу?

Похоже на то. Разрешил порт 53 и ssh стал коннектиться без задержек.

Вот только ftp так и не удаётся законнектить:

ftp> open cys.che.intra.net
Связь с cys.che.intra.net.
220 Welcome to MILL FTP service.
Пользователь (cys.che.intra.net:(none)): anonymous
331 Please specify the password.
Пароль:
230 Login successful. Have fun.
ftp> ls
200 PORT command successful. Consider using PASV.
425 Failed to establish connection.
ftp>

С самого хоста на себя ftp ходит нормально.

Best regards,

Denis

----------
earthsea@ngs.ru




^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] firewall
  2003-03-05 13:36                     ` Re[3]: " Denis G. Samsonenko
@ 2003-03-06  8:00                       ` Andrei M. Laptev
  2003-03-06 14:40                         ` Re[2]: " Denis G. Samsonenko
  0 siblings, 1 reply; 19+ messages in thread
From: Andrei M. Laptev @ 2003-03-06  8:00 UTC (permalink / raw)
  To: community

Denis G. Samsonenko пишет:

>>Типичное поведение, когда сервер не может разрешить обратную
>>зону клиента. Не рубите ли вы DNS-запросы как внутрь, так и
>>наружу?
>>    
>>
>
>Похоже на то. Разрешил порт 53 и ssh стал коннектиться без задержек.
>  
>
А еще возможны проблемы с сервисом на 113 порту - auth, если его у тебя 
нет,
то может быть лучше на эти порты поставить не DROP, а REJECT.

>Вот только ftp так и не удаётся законнектить:
>
>ftp> open cys.che.intra.net
>Связь с cys.che.intra.net.
>220 Welcome to MILL FTP service.
>Пользователь (cys.che.intra.net:(none)): anonymous
>331 Please specify the password.
>Пароль:
>230 Login successful. Have fun.
>ftp> ls
>200 PORT command successful. Consider using PASV.
>425 Failed to establish connection.
>ftp>
>
>  
>
А вот с фтп наверное нужно смотреть на предмет загрузки модулей ip_conntrack

--
С уважением,
Лаптев Андрей



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] firewall
  2003-03-06  8:00                       ` Andrei M. Laptev
@ 2003-03-06 14:40                         ` Denis G. Samsonenko
  0 siblings, 0 replies; 19+ messages in thread
From: Denis G. Samsonenko @ 2003-03-06 14:40 UTC (permalink / raw)
  To: Andrei M. Laptev

Hi!

Thursday, March 06, 2003, 2:00:13 PM, you wrote:
> А еще возможны проблемы с сервисом на 113 порту - auth, если его у тебя
> нет,
> то может быть лучше на эти порты поставить не DROP, а REJECT.

113 у меня разрешён.

> А вот с фтп наверное нужно смотреть на предмет загрузки модулей ip_conntrack

С фтп я разобрался. Там просто надо вставить ACCEPT для уже
установленных соединений перед отсылкой на проверку порта. У нас фтп
пассивный, а без указанного правила пускал только на 21 порт.

В общем разобрался я более менее в этом вопросе. Спасибо всем за
отклики и помощь.


Best regards,

Denis

----------
earthsea@ngs.ru




^ permalink raw reply	[flat|nested] 19+ messages in thread

end of thread, other threads:[~2003-03-06 14:40 UTC | newest]

Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-03-04 14:57 [Comm] firewall Denis G. Samsonenko
2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-04 16:34   ` Oleg Lukashin
2003-03-04 16:57     ` Re[2]: " Dmitry Alexeyev
2003-03-04 17:23       ` Oleg Lukashin
2003-03-04 17:27       ` Maxim Tyurin
2003-03-05  6:48         ` Re[2]: " Denis G. Samsonenko
2003-03-05  7:18           ` Maxim Tyurin
2003-03-05  8:40             ` Denis G. Samsonenko
2003-03-05  9:33               ` Maxim Tyurin
2003-03-05 12:59                 ` Re[2]: " Denis G. Samsonenko
2003-03-05 13:04                   ` Vitaly Ostanin
2003-03-05 13:30                   ` Antonio
2003-03-05 13:36                     ` Re[3]: " Denis G. Samsonenko
2003-03-06  8:00                       ` Andrei M. Laptev
2003-03-06 14:40                         ` Re[2]: " Denis G. Samsonenko
2003-03-05  6:38   ` Denis G. Samsonenko
2003-03-05  8:33 ` Alex Yustasov
2003-03-05  8:45   ` Denis G. Samsonenko

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git