Dobrý den,
potřeboval bych poradit ohledně iptables.
Chci zakázat všechna příchozí spojení kromě na http/https, apod + povolit z určité ip na ssh, mysql, ... S tímto bych si ještě věděl rady.
Ale pokud takto nastavím, a INPUT dám na policy DROP, přestane fungovat překlad jména na ip (např. ping google.com). Pravděpodobně je to tímto. Pokud nemám nastaveno, vše je funkční.
Co je potřeba ještě pridat do iptables, popř jak nejlépe nastavit.
Předem díky za rady.
iptables
Re: iptables
Doporučuju využít nějaký generátor pravidel - zeptá se na pár otázek a vytvoří okomentovaný a funkční konfigurační soubor, který je možné dále upravovat. Mi se osvědčil třeba jednoduchý http://qtables.radom.org/ (sice se dál nevyvíjí, ale pořád funguje), ale je i spousta dalších https://www.google.com/search?q=iptable ... r&ie=utf-8
-
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: iptables
Dobrý den,
sice neuvádíte přesné zadání Vašich iptables pravidel, ale pokud jde jen o to zpřístupnit DNS server, pak:
iptables -A INPUT -p udp --sport 53 -j ACCEPT
nebo ještě lépe pro IPv4 adresy v /etc/resolv,conf:
iptables -A INPUT -p udp --src 81.31.33.19 --sport 53 -j ACCEPT
iptables -A INPUT -p udp --src 80.79.16.5 --sport 53 -j ACCEPT
Uvedená pravidla propustí všechny příchozí UDP pakety ze zdroje (viz IP adresy), kde je zdrojový port 53 (DNS).
J.M.
sice neuvádíte přesné zadání Vašich iptables pravidel, ale pokud jde jen o to zpřístupnit DNS server, pak:
iptables -A INPUT -p udp --sport 53 -j ACCEPT
nebo ještě lépe pro IPv4 adresy v /etc/resolv,conf:
iptables -A INPUT -p udp --src 81.31.33.19 --sport 53 -j ACCEPT
iptables -A INPUT -p udp --src 80.79.16.5 --sport 53 -j ACCEPT
Uvedená pravidla propustí všechny příchozí UDP pakety ze zdroje (viz IP adresy), kde je zdrojový port 53 (DNS).
J.M.
Re: iptables
Možná zbytečná připomínka: ip6tables. Abys, jako já , po půl roce nezjistil, že máš vymazlené pravidla pro ipv4, ale úplně otevřené ipv6.
Re: iptables
jasně, ke každé IP adrese = síťovému rozhraní jednu sadu iptables. v tomhle je současná IPv6 pěkná pakárna, dělat cca deset let vše dvojmo Kdyby vymysleli pořádnou zpětnou kompatibilitu, už mohlo být IPv6 všude..
Re: iptables
Ano, děkuji všem.
Opravdu bylo nepřítomností pravidla pro DNS.
Díky za tip ohledně IP6
Opravdu bylo nepřítomností pravidla pro DNS.
Díky za tip ohledně IP6