Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

FIREWALL HOWTO - Iptables za početnike

[es] :: Linux mreže :: FIREWALL HOWTO - Iptables za početnike
(TOP topic, by random)
Strane: 1 2 3

[ Pregleda: 66190 | Odgovora: 42 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

scenarist

Član broj: 169249
Poruke: 441
*.gprs.19522256-76.bih.net.ba.



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike05.08.2012. u 15:24 - pre 141 meseci
Citat:
milosbeo:
Da malo pojasnimo. Ajde da kazemo da postoje dve bitne tabele, FILTER i NAT.
U okviru FILTER tabele postoje lanci (chain) INPUT, OUTPUT, FORWARD(kada je pc podesen kao ruter).
U okviru lanaca postoje pravila koja se citaju po nekom redosledu, prvo se citaju dodata pravila, pa onda polisa.
Pomocu -A, -I, -P ta pravila smestas u tu tabelu. Pomocu -L citas sadrzaj.
---------------------------------------------------------------------------------------

Trebalo bi da je OK.

Prvo se citaju pravila pa polisa. Znas sta znaci -A (append), smesta pavilo u poslednji red lanca.

U tvom slucaju za INPUT lanac bi dobio sledece:

1. iptables -A INPUT -s 192.168.1.144 -j ACCEPT #dozvoljen pristup iz LANa samo ovoj IP adresi
2. iptables -A INPUT -p tcp -s 217.0.0.0/8 --dport 22 -j ACCEPT #dakle dozvoljen pristup iz vana samo ovom opsegu za port 22
3. iptables -A INPUT -p tcp -s 217.0.0.0/8 --dport 80 -j ACCEPT #dakle dozvoljen pristup iz vana samo ovom opsegu za port 80
i na kraju se gleda polisa
4. iptables -P INPUT DROP #blokiraj sve dolazne pakete


Pozzz


Da li je bitan redoslijed kojim pisem pravila ?

Jer kako gore kazes prvo se citaju dodata pravila(to su ova sa "A"), zatim polisa "P".

Uglavnom sa

iptables -P INPUT DROP // cu blokirati sav dolazni saobracaj

a onda cu odobriti dolazni saobracaj IPs kojima zelim sa

iptables -A INPUT -s 192.168.1.144 -j ACCEPT

Dalje ukoliko koristim portove 22 i 80, da li da zabranim recimo pristup sa IP sa ovim pravilom

iptables -A INPUT -s 217.0.0.0/8 -j DROP

ILI sa

iptables -A INPUT -p tcp -s 217.0.0.0/8 --dport 22 -j DROP
iptables -A INPUT -p tcp -s 217.0.0.0/8 --dport 80 -j DROP

da li je mozda ovo drugo pravilo sigurnije ?

Takodjer da li imam potrebe nakon sto podesim iptabele , konfigurisati public and private keys od putty za one racunare koji imaju doyvoljen pristup ili je to suvisno ?




 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
*.dynamic.isp.telekom.rs.

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike05.08.2012. u 16:59 - pre 141 meseci
Redosled je bitan, u smislu da ako imas na vrhu lanca prvo pravilo

iptables -A INPUT -s 217.0.0.0/8 -j DROP

onda ti nema smisla neko ovakvo pravilo

iptables -A INPUT -p tcp -s 217.0.0.1 --dport 22 -j ACCEPT

posto se u gornjoj mrezi nalazi host koji hoces da propustis.

Treba da specificna pravila stavljas na vrh.
Ovako bi recimo valjalo:

1. iptables -A INPUT -p tcp -s 217.0.0.1 --dport 22 -j ACCEPT
2. iptables -A INPUT -s 217.0.0.0/8 -j DROP

Opet, ako vec imas polisu DROP, ovo ispod i nema bas smisla, posto ce paket biti dropovan ako ne dolazi sa src adrese 217.0.0.1 --dport 22

Dakle ova drop pravila ti nemaju svrhu posto vec imas na kraju lanca polisu koja sve dropuje, ako se dodje do nje.

Za kljuceve mislim da ne treba.



 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
*.fbih.806590-39.bih.net.ba.



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike05.08.2012. u 20:45 - pre 141 meseci
Hm..
ali citajuci o IPtabelama sam naisao na dva koncepta:
PRVI: Blokiraj sve IPs i onda odobri onima koje zelis i
DRUGI: Odobri sve i onda blokiraj odredjene IPs

Opcija 1 se uobicajeno koristi za INPUT odnosno incoming pakete

Code:

The concept of default policies within chains raises two fundamental possibilities that we must first consider before we decide how we are going to organize our firewall.

1. We can set a default policy to DROP all packets and then add rules to specifically allow (ACCEPT) packets that may be from trusted IP addresses, or for certain ports on which we have services running such as bittorrent, FTP server, Web Server, Samba file server etc.

or alternatively,

2. We can set a default policy to ACCEPT all packets and then add rules to specifically block (DROP) packets that may be from specific nuisance IP addresses or ranges, or for certain ports on which we have private services or no services running.

Generally, option 1 above is used for the INPUT chain where we want to control what is allowed to access our machine and option 2 would be used for the OUTPUT chain where we generally trust the traffic that is leaving (originating from) our machine.


Ali uglavnom koliko sam prokuzio bitno je da specificna pravila tj. ACCEPT pisem prva i onda nakon njih DROP. TJ.

Code:

iptables -A INPUT -s 192.168.1.0/8 -j ACCEPT
iptables -A INPUT -s 195.222.0.0/16 -j ACCEPT i onda na kraju
iptables -P INPUT DROP

//dakle odobri samo gore napisanom opsegu IPs a svim ostalim zabrani.

Da sam obratnim redoslijedom napisao, mislim da onda nebi vrijedilo, jer bi mi odmah prvo pravilo dropovalo cak i ako pokusam pristupiti sa 192.168.1.20

Code:
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.1.0/8 -j ACCEPT
iptables -A INPUT -s 195.222.0.0/16 -j ACCEPT


Eh sad da li je to ta logika ili ?

 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike05.08.2012. u 20:55 - pre 141 meseci
Nema veze kojim redosledom postavljaš default polisu - ona se svakako primenjuje poslednja, posle pravila.
 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
*.gprs.19522256-79.bih.net.ba.



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 14:38 - pre 141 meseci
OK. Shvatio sam.

No medjutim upravo sam pokusao da instaliram webmin no medjutim ne mogu jer ne mogu ga ni downloadovati zbog pravila
Code:
iptables -P INPUT DROP


zelim sada da izbrisem tu polisu ali ne znam kako ? Imam samo tri pravila, kako da izbrisem polisu iptables -D INPUT "rule_number"
Kada izlistam pravila sa rule numbers su

Code:
iptables -n -L -v --line-numbers

[root@go ~]# iptables -n -L -v --line-numbers
Chain INPUT (policy DROP 48921 packets, 2956K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    11141 1857K ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0
2      171 16146 ACCEPT     all  --  *      *       213.143.103.43       0.0.0.0/0
3      984 91057 ACCEPT     all  --  *      *       195.222.0.0/16       0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 74866 packets, 7251K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (0 references)
num   pkts bytes target     prot opt in     out     source               destination


Odnosno kako da napisem pravila da kada ja posaljem upit tj.da nesto downlodujem da imam tu mogucnost a da prethodno ne brisem polisu iptables -P INPUT DROP ? Ili cu svaki put kada nesto zelim downloadovati morati brisati (ili stopirati iptables) iptables -P INPUT DROP pa ponovno restore (ili iptables start,respektivno) ?

 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 15:49 - pre 141 meseci
Polisa treba da stoji, a pravilima odredi šta propuštaš. Bilo bi vrlo nepraktično da moraš svaki put da otvaraš/zatvaraš.
Da bi radio download, možeš da dodaš da se u INPUT propuštaju sve related,established konekcije, pa kada potražuješ sa Interneta, on u INPUT-u propusti poznatu, već uspostavljenu konekciju.

Npr.


iptables -A INPUT -p TCP -m state --state ESTABLISHED -j ACCEPT

Ili jednostavno da pustiš u INPUT sve što dolazi sa porta 80

iptables -A INPUT -p TCP --sport 80 -j ACCEPT
 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
92.36.219.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:10 - pre 141 meseci
Razumijem.

Ali recimo kada

kada hocu da obrisem sva pravila , kucam

Code:
iptables -F 


nakon toga obrise mi sva pravila ali ostane mi polisa

Code:
iptables -P INPUT DROP


kako da nju obrisem ?

Upravo sam to uradio i nemogu da pristupim udaljenom serveru, moram sad ici na lice mjesta. :)

mislim da je ovo gore tvoje prvo pravilo bolje, jer u prevodu na svaki moj sent paket, dobit cu response , ako sam dobro shvatio?
a ovo drugo tvoje pravilo, mi ne odgovara jer na portu 80 mi je web gui a nebi da ga otvaram svima.

da li sam trebao sa iptables -X

iptables -F // flush all chains
iptables -X // delete all chains

 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:16 - pre 141 meseci
Kada testiras iptables obavezno u cron ubaci da na X minuta radi iptables -F

Pogledaj /etc/sysconfig/iptables
 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
92.36.219.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:25 - pre 141 meseci
Problem je taj sto kada sam ja uradio
iptables -F

automatski me je putty diskonektovao, sto znaci da mi je iptables -F izbrisao pravilo iptables -A INPUT -s 195.222.0.0/16, a ostavio polisu iptables -P INPUT DROP. Jer ne mogu vise pristupiti serveru sa 195.222.56.80. Odakle proizilazi da ne mogu raditi iptables -F sa udaljene lokacije.

 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:30 - pre 141 meseci
Posebno promeni polisu sa iptables -P INPUT ACCEPT
To možeš isto da ubaciš u cron - uz iptables -F, da te ne odseče kad ne treba
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:32 - pre 141 meseci
Pogledaj koja ti je default polisa u sysconfig/iptables fajlu.

p.s. Kada podesis iptables pravila moras ih sacuvati: service iptables save
 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
92.36.219.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.08.2012. u 16:49 - pre 141 meseci
ok. Shvatio sam.

Samo prije pokretanja iptables -F , odradim iptables -P INPUT ACCEPT i nakon toga sam bez brige da me izbaci, a i pronasao sam skriptu za crontab Reset all rules of iptables. Handy to put in the root’s crontab while configuring a remote firewall.

 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
109.175.88.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike16.08.2012. u 12:41 - pre 141 meseci
Citat:
maksvel:
Polisa treba da stoji, a pravilima odredi šta propuštaš. Bilo bi vrlo nepraktično da moraš svaki put da otvaraš/zatvaraš.
Da bi radio download, možeš da dodaš da se u INPUT propuštaju sve related,established konekcije, pa kada potražuješ sa Interneta, on u INPUT-u propusti poznatu, već uspostavljenu konekciju.

Npr.


iptables -A INPUT -p TCP -m state --state ESTABLISHED -j ACCEPT

Ili jednostavno da pustiš u INPUT sve što dolazi sa porta 80

iptables -A INPUT -p TCP --sport 80 -j ACCEPT


Da li ovo pravilo

iptables -A INPUT -s 77.0.0.0/8 -j ACCEPT // range od sip provajdera, dakle dozvolio sam incoming pristup sa datog opsega

znaci da je dozvoljen incoming pristup preko bilo kojeg porta ili moram konkretno naznaciti accept za pojedini port, jer ne uspijevam nakaciti sip trunk iako sam dozvolio incoming pristup cijelom ip opsegu sip provajdera?

dodao sam i slijedece ali opet ne prolazi

-A INPUT -s 77.0.0.0/255.0.0.0 -p udp -m udp --dport 4569 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -s 77.0.0.0/255.0.0.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike16.08.2012. u 12:57 - pre 141 meseci
DA - ako nisi naznačio port, odnosno protokol, prolazi sve (sa zadatih adresa).
Jedino da eventualno loguješ u poslednjem pravilu, da se vidi šta se odbacuje, odnosno šta ne stiže kako treba.
Npr, dodaš
iptables -A INPUT-j LOG --log-level 7 --log-prefix "DROP paketi"

i onda proveriš u /var/log/messages (ili u posebnom fajlu, zavisi gde se čuva log iptables na tom distrou) kakvi paketi su odbačeni.
 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
109.175.88.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike16.08.2012. u 13:27 - pre 141 meseci
Rijesio sam tako sto uopste nisam koristio polisu

iptables -P INPUT DROP,

setovao sam je na ACCEPT

a onda odradio

iptables -A INPUT 0/0 -j DROP

i to je to :)

 
Odgovor na temu

scenarist

Član broj: 169249
Poruke: 441
109.175.88.*



+2 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike16.08.2012. u 16:01 - pre 141 meseci
Hm...ispricavam se...isti problem mi je ostao.

[Aug 16 16:58:34] WARNING[2421]: chan_sip.c:3225 create_addr: No such host: sip.justvoip.com
[Aug 16 16:58:34] WARNING[2421]: chan_sip.c:8291 transmit_register: Probably a DNS error for registration to [email protected], trying REGISTER again (after 20

@maksvel

dodao sam pravilo kako si i napisao i ovo je sadrzaj var/log/messages
Code:

Aug 16 10:04:05 go syslogd 1.4.1: restart.
Aug 16 10:27:28 go kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Aug 16 10:38:49 go ntpd[1922]: synchronized to 91.198.174.204, stratum 2
Aug 16 11:06:53 go kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Aug 16 11:06:53 go kernel: Netfilter messages via NETLINK v0.30.
Aug 16 11:06:53 go kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) - 228 bytes per conntrack
Aug 16 12:51:42 go kernel: Removing netfilter NETLINK layer.
Aug 16 12:51:42 go kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Aug 16 12:51:42 go kernel: Netfilter messages via NETLINK v0.30.
Aug 16 12:51:42 go kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) - 228 bytes per conntrack
Aug 16 14:54:40 go ntpd[1922]: synchronized to 188.122.88.222, stratum 3
Aug 16 15:00:01 go ntpd[1922]: synchronized to LOCAL(0), stratum 10
Aug 16 16:17:04 go kernel: Removing netfilter NETLINK layer.
Aug 16 16:45:16 go kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Aug 16 16:45:16 go kernel: Netfilter messages via NETLINK v0.30.
Aug 16 16:45:16 go kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) - 228 bytes per conntrack


Pored var/log/messages imam i failove
var/log/messages1
var/log/messages2
var/log/messages3
var/log/messages4

 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike17.08.2012. u 13:20 - pre 141 meseci
Diskusija je nastavljena ovde.
 
Odgovor na temu

cerveni
Zoran Cerveni
IT Manager
Zemun

Član broj: 89734
Poruke: 130

Sajt: cerveni.linuxd.org


+10 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike16.10.2013. u 23:36 - pre 127 meseci
A da malo zakomplikujemo stvar sa stelth portovima

prvo ako je vas racunar direktno izlozen internetu proverite kako se vide vasi portovi sa spolja

https://www.grc.com/Shieldsup!

Posle toga probajte da dodate mangle prerouting tabelu primer:

Code:

# Completed on Thu Oct 17 00:10:01 2013
# Generated by iptables-save v1.4.7 on Thu Oct 17 00:10:01 2013
*mangle
:PREROUTING ACCEPT [3656700:3189031252]
:INPUT ACCEPT [1245025:1400142682]
:FORWARD ACCEPT [2411625:1788884202]
:OUTPUT ACCEPT [1015096:720130025]
:POSTROUTING ACCEPT [3427223:2509104226]
:IANA-reserved - [0:0]
:MSYNFLOOD - [0:0]
-A PREROUTING -p igmp -j DROP 
-A PREROUTING -s 192.168.0.0/16 -j RETURN 
-A PREROUTING -i lo -j RETURN
-A PREROUTING -m state --state NEW -j IANA-reserved 
-A PREROUTING -m state --state NEW -j MSYNFLOOD 

-A IANA-reserved -s 255.255.255.255/32 -j DROP 
-A IANA-reserved -s 0.0.0.0/8 -j DROP 
-A IANA-reserved -s 10.0.0.0/8 -j DROP 
-A IANA-reserved -s 169.254.0.0/16 -j DROP 
-A IANA-reserved -s 172.16.0.0/12 -j DROP 
-A IANA-reserved -s 192.168.0.0/16 -j DROP
-A IANA-reserved -j RETURN 

-A MSYNFLOOD -f -m comment --comment "Fragments" -j LOG --log-prefix "Fragments Packets" 
-A MSYNFLOOD -f -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN 
-A MSYNFLOOD -p tcp -m comment --comment "sync" -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "Drop Syn" 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A MSYNFLOOD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A MSYNFLOOD -p tcp -m comment --comment "block bad stuff" -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A MSYNFLOOD -p tcp -m comment --comment "NULL packets" -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "NULL Packets" 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP 
-A MSYNFLOOD -p tcp -m comment --comment "XMAS" -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "XMAS Packets" 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP 
-A MSYNFLOOD -p tcp -m comment --comment "FIN packet scans" -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "Fin Packets Scan" 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP 
-A MSYNFLOOD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP 
-A MSYNFLOOD -j RETURN 



proverite ponovo preko grc-a portove

javice vam failed zbog ICMP echo ali svi portovi treba da budu stealth.

 
Odgovor na temu

kunc
Germany/Munich

Član broj: 195484
Poruke: 440



+56 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.06.2016. u 16:33 - pre 95 meseci
Code:
iptables -F
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables-save > /etc/iptables.up.rules
iptables-restore < /etc/iptables.up.rules



Pokušavam da zaštitim server što je moguće bolje. Šta ne odgovara ovdje..iptables mi blokira site..? Hvala drugari



 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.mbb.telenor.rs.



+638 Profil

icon Re: FIREWALL HOWTO - Iptables za početnike06.06.2016. u 18:14 - pre 95 meseci
Ovo "iptables -A FORWARD -j DROP" ? Jes da bi to trebao da bude cisto trafik u "input" chain-u, ali mi nesto mirise da je ovo problem. I jesi siguran da iptables dropuje?

Izlistaj sa "iptables -L -n --list-numbers" pa sa "iptables -D INPUT BROJ_pravila" obrisi jedno po jedno pravilo ako bas dodje dotle. Dodaj prvo "iptables -I FORWARD -j ACCEPT" pa vidi jel radi sajt, pa dalje istrazuj.

 
Odgovor na temu

[es] :: Linux mreže :: FIREWALL HOWTO - Iptables za početnike
(TOP topic, by random)
Strane: 1 2 3

[ Pregleda: 66190 | Odgovora: 42 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.