* [Comm] Помогите разобраться c iptables
@ 2006-03-09 13:01 Anatoliy Lisjutin
2006-03-09 13:07 ` Dmitriy L. Kruglikov
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Anatoliy Lisjutin @ 2006-03-09 13:01 UTC (permalink / raw)
To: community
Здравствуйте!
Почему то у меня всегда так получается , что после после запуска скрипта
первым стоит такое правило , которое все разрешает, хотя такого в скрипте
нет. Самую первую строчку-правило с ACCEPT.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 212.34.41.46 0.0.0.0/0
DROP all -- 10.0.0.0/8 0.0.0.0/0
DROP all -- 172.16.0.0/12 0.0.0.0/0
DROP all -- 192.168.0.0/16 0.0.0.0/0
DROP all -- 255.255.255.255 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0
DROP all -- 224.0.0.0/4 0.0.0.0/0
DROP all -- 240.0.0.0/5 0.0.0.0/0
При этом перед началом записи правил стоит:
$IPTABLES -F
# Remove any existing user-defined chains.
$IPTABLES -X
# Set the default policy of the filter to deny.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Откуда же все разрешающий ACCEPT берется?
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:01 [Comm] Помогите разобраться c iptables Anatoliy Lisjutin
@ 2006-03-09 13:07 ` Dmitriy L. Kruglikov
2006-03-09 13:23 ` Anatoliy Lisjutin
2006-03-09 13:20 ` Sergey Vlasov
2006-03-09 13:26 ` Шенцев Алексей Владимирович
2 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-09 13:07 UTC (permalink / raw)
To: community
On Thu, 9 Mar 2006 16:01:34 +0300
Anatoliy Lisjutin wrote:
> нет. Самую первую строчку-правило с ACCEPT.
> Chain INPUT (policy DROP)
А ты попробуй посмотреть командой
iptables-save
Там покрасивше будет ...
А скриптик свой построчно проверь ...
Мануально добавил правило, посмотрел, что из этого вышло ...
Тогда понятней будет ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:01 [Comm] Помогите разобраться c iptables Anatoliy Lisjutin
2006-03-09 13:07 ` Dmitriy L. Kruglikov
@ 2006-03-09 13:20 ` Sergey Vlasov
2006-03-09 13:27 ` Anatoliy Lisjutin
2006-03-09 13:26 ` Шенцев Алексей Владимирович
2 siblings, 1 reply; 13+ messages in thread
From: Sergey Vlasov @ 2006-03-09 13:20 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 879 bytes --]
On Thu, Mar 09, 2006 at 04:01:34PM +0300, Anatoliy Lisjutin wrote:
> Почему то у меня всегда так получается , что после после запуска скрипта
> первым стоит такое правило , которое все разрешает, хотя такого в скрипте
> нет. Самую первую строчку-правило с ACCEPT.
> Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
[...]
>
> При этом перед началом записи правил стоит:
>
> $IPTABLES -F
> # Remove any existing user-defined chains.
> $IPTABLES -X
> # Set the default policy of the filter to deny.
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -P FORWARD DROP
>
> Откуда же все разрешающий ACCEPT берется?
Смотрите вывод с опцией -v - без неё правила показываются не полностью, и,
например, фильтр по имени интерфейса оказывается просто не виден.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:07 ` Dmitriy L. Kruglikov
@ 2006-03-09 13:23 ` Anatoliy Lisjutin
2006-03-09 13:31 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Anatoliy Lisjutin @ 2006-03-09 13:23 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Четверг 09 Март 2006 16:07 Dmitriy L. Kruglikov написал(a):
> On Thu, 9 Mar 2006 16:01:34 +0300
>
> Anatoliy Lisjutin wrote:
> > нет. Самую первую строчку-правило с ACCEPT.
> > Chain INPUT (policy DROP)
>
> А ты попробуй посмотреть командой
> iptables-save
> Там покрасивше будет ...
>
> А скриптик свой построчно проверь ...
> Мануально добавил правило, посмотрел, что из этого вышло ...
> Тогда понятней будет ...
Вот как раз кусок про INPUT , нетутут никакого вседозволяющего ACCEPT от
всех ко всем
# Generated by iptables-save v1.3.1 on Thu Mar 9 16:16:31 2006
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[32:1532] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -s 212.34.41.46 -j DROP
[0:0] -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -j DROP
[0:0] -A INPUT -s 255.255.255.255 -j DROP
ОТКУДА ТОГДА ОН ПОЯВЛЯЕТСЯ?
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:01 [Comm] Помогите разобраться c iptables Anatoliy Lisjutin
2006-03-09 13:07 ` Dmitriy L. Kruglikov
2006-03-09 13:20 ` Sergey Vlasov
@ 2006-03-09 13:26 ` Шенцев Алексей Владимирович
2006-03-09 13:34 ` Anatoliy Lisjutin
2 siblings, 1 reply; 13+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-03-09 13:26 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от 9 марта 2006 16:01 Anatoliy Lisjutin написал(a):
> Здравствуйте!
Привет.
> Почему то у меня всегда так получается , что после после запуска скрипта
> первым стоит такое правило , которое все разрешает, хотя такого в скрипте
> нет. Самую первую строчку-правило с ACCEPT.
> Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
<skip>
Ы\Ты случаем webmin не используешь? А то он на такие фокусы способен.
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:20 ` Sergey Vlasov
@ 2006-03-09 13:27 ` Anatoliy Lisjutin
2006-03-09 14:21 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 13+ messages in thread
From: Anatoliy Lisjutin @ 2006-03-09 13:27 UTC (permalink / raw)
To: ALT Linux Community
Здравствуйте!
В сообщении от Четверг 09 Март 2006 16:20 Sergey Vlasov написал(a):
> On Thu, Mar 09, 2006 at 04:01:34PM +0300, Anatoliy Lisjutin wrote:
> >
> > Откуда же все разрешающий ACCEPT берется?
>
> Смотрите вывод с опцией -v - без неё правила показываются не полностью,
> и, например, фильтр по имени интерфейса оказывается просто не виден.
Я service iptables status смотрю. Он показывает?
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:23 ` Anatoliy Lisjutin
@ 2006-03-09 13:31 ` Michael Shigorin
2006-03-09 13:36 ` Anatoliy Lisjutin
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2006-03-09 13:31 UTC (permalink / raw)
To: ALT Linux Community
On Thu, Mar 09, 2006 at 04:23:29PM +0300, Anatoliy Lisjutin wrote:
> Вот как раз кусок про INPUT , нетутут никакого вседозволяющего
> ACCEPT от всех ко всем
> [32:1532] -A INPUT -i lo -j ACCEPT
^^^^^^^^^^^^^^^^^^^^^^^^
> ОТКУДА ТОГДА ОН ПОЯВЛЯЕТСЯ?
Ну а про интерфейс vsu@ кому в точку попал? :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:26 ` Шенцев Алексей Владимирович
@ 2006-03-09 13:34 ` Anatoliy Lisjutin
0 siblings, 0 replies; 13+ messages in thread
From: Anatoliy Lisjutin @ 2006-03-09 13:34 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Четверг 09 Март 2006 16:26 Шенцев Алексей Владимирович
написал(a):
> В сообщении от 9 марта 2006 16:01 Anatoliy Lisjutin написал(a):
> > Здравствуйте!
>
> Привет.
>
> > Почему то у меня всегда так получается , что после после запуска
> > скрипта первым стоит такое правило , которое все разрешает, хотя
> > такого в скрипте нет. Самую первую строчку-правило с ACCEPT.
> > Chain INPUT (policy DROP)
> > target prot opt source destination
> > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
>
> <skip>
> Ы\Ты случаем webmin не используешь? А то он на такие фокусы способен.
Нет.
Правильный ответ был From: Sergey Vlasov <vsu@altlinux.ru>
"Смотрите вывод с опцией -v - без неё правила показываются не полностью, и,
например, фильтр по имени интерфейса оказывается просто не виден."
Спасибо.
Вот как это выглядит :
[root@guides sysconfig]# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
138 11766 ACCEPT all -- lo any anywhere
anywhere
0 0 DROP all -- any any 212.34.41.46
anywhere
0 0 DROP all -- any any 10.0.0.0/8
anywhere
0 0 DROP all -- any any 172.16.0.0/12
anywhere
0 0 DROP all -- any any 192.168.0.0/16
anywhere
0 0 DROP all -- any any 255.255.255.255
anywhere
И все становится на свои места.
Действительно, это разрешение дляинтерфейса lo. А я испужался ;)
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:31 ` Michael Shigorin
@ 2006-03-09 13:36 ` Anatoliy Lisjutin
0 siblings, 0 replies; 13+ messages in thread
From: Anatoliy Lisjutin @ 2006-03-09 13:36 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Четверг 09 Март 2006 16:31 Michael Shigorin написал(a):
>
> Ну а про интерфейс vsu@ кому в точку попал? :)
Да.. это точно ;)
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 13:27 ` Anatoliy Lisjutin
@ 2006-03-09 14:21 ` Dmitriy L. Kruglikov
2006-03-09 18:52 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-09 14:21 UTC (permalink / raw)
To: community
On Thu, 9 Mar 2006 16:27:22 +0300
Anatoliy Lisjutin wrote:
> Я service iptables status смотрю. Он показывает?
>
Он показывает то, что прописано в скрипте /etc/init.d/iptables
в функции status ... (Различно в разных системах)
А тебе нужно сперва почитать man iptables и посмотреть, какие там
ключики есть ... Тот же -v ...
И, я ж писал, по одному правилу добавляй руками, и смотри, что
меняется, если хочешь понять, что и откуда берется ...
В твоем случае локальный интерфейс имеет режим "всем-все" ...
Что и приводит к строкам:
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Попробуй iptables -vnL ... И посмотри внимательно.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 14:21 ` Dmitriy L. Kruglikov
@ 2006-03-09 18:52 ` Michael Shigorin
2006-03-10 7:20 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2006-03-09 18:52 UTC (permalink / raw)
To: community
On Thu, Mar 09, 2006 at 04:21:19PM +0200, Dmitriy L. Kruglikov wrote:
> > Я service iptables status смотрю. Он показывает?
> Он показывает то, что прописано в скрипте /etc/init.d/iptables
> в функции status ... (Различно в разных системах)
Кстати, переносил один файрвол в /etc/net -- задумался,
а какой бы там статус был наиболее полезным...
http://wiki.sisyphus.ru/admin/etcnet
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-09 18:52 ` Michael Shigorin
@ 2006-03-10 7:20 ` Dmitriy L. Kruglikov
2006-03-10 11:22 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-10 7:20 UTC (permalink / raw)
To: community
On Thu, 9 Mar 2006 20:52:03 +0200
Michael Shigorin wrote:
>
> Кстати, переносил один файрвол в /etc/net -- задумался,
> а какой бы там статус был наиболее полезным...
>
Это был вопрос?
Если да, то вот несколько мыслей вслух:
1) При переходе с /etc/sysconfig/network-scripts/ifcfg-eth0
на /etc/net/ifaces/eth0/* было бы полезно парсить старый конфиг и
переносить его в новый...
Потому как я однажды поторопился с обновлением, а потом долго
соображал, почему у меня сервер полег... :) Сам себе Буратино,
конечно, но было неприятно...
2) Статус iptables выглядел бы читабельнее в виде дерева, но такого ни
кто не показывает ...
Может быть нечто простенькое, с использованием ncurses?
Ну а в первом приближении iptables -vnL выглядит читабельнее и
понятнее стандартного status ... Предыдущий тред это подтверждает.
> http://wiki.sisyphus.ru/admin/etcnet
А за это щиро дякую :) (Переводить?)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Помогите разобраться c iptables
2006-03-10 7:20 ` Dmitriy L. Kruglikov
@ 2006-03-10 11:22 ` Michael Shigorin
0 siblings, 0 replies; 13+ messages in thread
From: Michael Shigorin @ 2006-03-10 11:22 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1570 bytes --]
On Fri, Mar 10, 2006 at 09:20:47AM +0200, Dmitriy L. Kruglikov wrote:
> > Кстати, переносил один файрвол в /etc/net -- задумался,
> > а какой бы там статус был наиболее полезным...
> Это был вопрос?
> Если да, то вот несколько мыслей вслух:
> 1) При переходе с /etc/sysconfig/network-scripts/ifcfg-eth0
> на /etc/net/ifaces/eth0/* было бы полезно парсить старый
> конфиг и переносить его в новый...
В etcnet есть /etc/net/scripts/initconf, который занимается
созданием примерной конфигурации исходя из наблюдаемой.
> 2) Статус iptables выглядел бы читабельнее в виде дерева, но
> такого ни кто не показывает ...
> Может быть нечто простенькое, с использованием ncurses?
> Ну а в первом приближении iptables -vnL выглядит читабельнее
> и понятнее стандартного status ... Предыдущий тред это
> подтверждает.
Ну можете попробовать набросать утилитку.
Кстати, перетаскивающим правила iptables из
/etc/sysconfig/iptables в /etc/net могут пригодиться эти штуки:
/etc/net/scripts/config-fw {start|stop|restart}
http://old.linux.kiev.ua/~mike/works/misc/iptables2etcnet/
> > http://wiki.sisyphus.ru/admin/etcnet
> А за это щиро дякую :) (Переводить?)
Та навіщо :) you're welcome.
P.S. напоминаю уважаемым участникам, что для подобных типично
сисадминских разбирательств есть рассылка sysadmins@, а также
то, что слать копии вопросов сразу в пачку рассылок -- неразумная
трата времени сотен и тысяч людей.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2006-03-10 11:22 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-03-09 13:01 [Comm] Помогите разобраться c iptables Anatoliy Lisjutin
2006-03-09 13:07 ` Dmitriy L. Kruglikov
2006-03-09 13:23 ` Anatoliy Lisjutin
2006-03-09 13:31 ` Michael Shigorin
2006-03-09 13:36 ` Anatoliy Lisjutin
2006-03-09 13:20 ` Sergey Vlasov
2006-03-09 13:27 ` Anatoliy Lisjutin
2006-03-09 14:21 ` Dmitriy L. Kruglikov
2006-03-09 18:52 ` Michael Shigorin
2006-03-10 7:20 ` Dmitriy L. Kruglikov
2006-03-10 11:22 ` Michael Shigorin
2006-03-09 13:26 ` Шенцев Алексей Владимирович
2006-03-09 13:34 ` Anatoliy Lisjutin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git