iptables

Diskuze o linuxu, rady, návody, zajímavosti.
Zamčeno
ming
Příspěvky: 13
Registrován: čtv 11. zář 2014 8:28:19

iptables

Příspěvek od ming »

Dobrý den,

potřeboval bych poradit ohledně iptables.

Chci zakázat všechna příchozí spojení kromě na http/https, apod + povolit z určité ip na ssh, mysql, ... S tímto bych si ještě věděl rady.
Ale pokud takto nastavím, a INPUT dám na policy DROP, přestane fungovat překlad jména na ip (např. ping google.com). Pravděpodobně je to tímto. Pokud nemám nastaveno, vše je funkční.
Co je potřeba ještě pridat do iptables, popř jak nejlépe nastavit.

Předem díky za rady.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: iptables

Příspěvek od alfi »

Doporučuju využít nějaký generátor pravidel - zeptá se na pár otázek a vytvoří okomentovaný a funkční konfigurační soubor, který je možné dále upravovat. Mi se osvědčil třeba jednoduchý http://qtables.radom.org/ (sice se dál nevyvíjí, ale pořád funguje), ale je i spousta dalších https://www.google.com/search?q=iptable ... r&ie=utf-8
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: iptables

Příspěvek od 4smart.cz »

Dobrý den,

sice neuvádíte přesné zadání Vašich iptables pravidel, ale pokud jde jen o to zpřístupnit DNS server, pak:

iptables -A INPUT -p udp --sport 53 -j ACCEPT

nebo ještě lépe pro IPv4 adresy v /etc/resolv,conf:

iptables -A INPUT -p udp --src 81.31.33.19 --sport 53 -j ACCEPT
iptables -A INPUT -p udp --src 80.79.16.5 --sport 53 -j ACCEPT

Uvedená pravidla propustí všechny příchozí UDP pakety ze zdroje (viz IP adresy), kde je zdrojový port 53 (DNS).

J.M.
stan
Příspěvky: 8
Registrován: úte 18. úno 2014 20:58:15

Re: iptables

Příspěvek od stan »

Možná zbytečná připomínka: ip6tables. Abys, jako já :oops: , po půl roce nezjistil, že máš vymazlené pravidla pro ipv4, ale úplně otevřené ipv6.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: iptables

Příspěvek od alfi »

jasně, ke každé IP adrese = síťovému rozhraní jednu sadu iptables. v tomhle je současná IPv6 pěkná pakárna, dělat cca deset let vše dvojmo :-( Kdyby vymysleli pořádnou zpětnou kompatibilitu, už mohlo být IPv6 všude..
ming
Příspěvky: 13
Registrován: čtv 11. zář 2014 8:28:19

Re: iptables

Příspěvek od ming »

Ano, děkuji všem.
Opravdu bylo nepřítomností pravidla pro DNS.
Díky za tip ohledně IP6
Zamčeno