forum.odorik.cz

Dobrý den,

potřeboval bych poradit ohledně iptables.

Chci zakázat všechna příchozí spojení kromě na http/https, apod + povolit z určité ip na ssh, mysql, ... S tímto bych si ještě věděl rady.
Ale pokud takto nastavím, a INPUT dám na policy DROP, přestane fungovat překlad jména na ip (např. ping google.com). Pravděpodobně je to tímto. Pokud nemám nastaveno, vše je funkční.
Co je potřeba ještě pridat do iptables, popř jak nejlépe nastavit.

Předem díky za rady.

Doporučuju využít nějaký generátor pravidel - zeptá se na pár otázek a vytvoří okomentovaný a funkční konfigurační soubor, který je možné dále upravovat. Mi se osvědčil třeba jednoduchý http://qtables.radom.org/ (sice se dál nevyvíjí, ale pořád funguje), ale je i spousta dalších https://www.google.com/search?q=iptable ... r&ie=utf-8

Dobrý den,

sice neuvádíte přesné zadání Vašich iptables pravidel, ale pokud jde jen o to zpřístupnit DNS server, pak:

iptables -A INPUT -p udp --sport 53 -j ACCEPT

nebo ještě lépe pro IPv4 adresy v /etc/resolv,conf:

iptables -A INPUT -p udp --src 81.31.33.19 --sport 53 -j ACCEPT
iptables -A INPUT -p udp --src 80.79.16.5 --sport 53 -j ACCEPT

Uvedená pravidla propustí všechny příchozí UDP pakety ze zdroje (viz IP adresy), kde je zdrojový port 53 (DNS).

J.M.

Možná zbytečná připomínka: ip6tables. Abys, jako já , po půl roce nezjistil, že máš vymazlené pravidla pro ipv4, ale úplně otevřené ipv6.

jasně, ke každé IP adrese = síťovému rozhraní jednu sadu iptables. v tomhle je současná IPv6 pěkná pakárna, dělat cca deset let vše dvojmo Kdyby vymysleli pořádnou zpětnou kompatibilitu, už mohlo být IPv6 všude..

Ano, děkuji všem.
Opravdu bylo nepřítomností pravidla pro DNS.
Díky za tip ohledně IP6