انجمن کاربران لینوکس ایران - تکنوتاکس سابق

انجمن کاربران لینوکس ایران - تکنوتاکس سابق > پرسش‌ها و پاسخ‌ها > لینوکس و امنیت > سوال iptables
نسخه ي کامل: سوال iptables
شما در حال مشاهده نسخه ي متني اين صفحه هستيد. مشاهده نسخه کامل تر با قالب بندي صحيح

triumph

2012-12-27, 02:01 PM
سلام...این رول ها رو یکی از دوستام ست کرده و بلاک شده همه پورت هاش..کسی از دوستان میدونه چرا؟ (خودم هنوز تست نکردم)
کد :
#!/bin/sh
# firewall
# chkconfig: 3 21 91
# description: Starts, stops iptables firewall

case "$1" in
start)

# Clear rules
iptables -t filter -F
iptables -t filter -X
echo – Clear rules : [OK]

# SSH In
iptables -t filter -A INPUT -p tcp –dport 22 -j ACCEPT
echo – SSH : [OK]

# Don’t break established connections
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
echo – established connections : [OK]

# Block all connections by default
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo – Block all connections : [OK]

# Loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo – Loopback : [OK]

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo – PING : [OK]

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp –dport 53 -j ACCEPT
echo – DNS : [OK]

# NTP Out
iptables -t filter -A OUTPUT -p udp –dport 123 -j ACCEPT
echo – NTP : [OK]

# FTP Out
iptables -t filter -A OUTPUT -p tcp –dport 20:21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 30000:50000 -j ACCEPT
# FTP In
iptables -t filter -A INPUT -p tcp –dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 30000:50000 -j ACCEPT
iptables -t filter -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
echo – FTP : [OK]

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 443 -j ACCEPT
# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 443 -j ACCEPT
echo – HTTP/HTTPS : [OK]

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp –dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 25 -j ACCEPT
echo – SMTP : [OK]

# Mail POP3:110
iptables -t filter -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 110 -j ACCEPT
echo – POP : [OK]

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp –dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 143 -j ACCEPT
echo – IMAP : [OK]

# Kloxo
iptables -t filter -A INPUT -p tcp –dport 7777:7778 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 7777:7778 -j ACCEPT
echo – Kloxo : [OK]

echo – Firewall [OK]
exit 0
;;

stop)
echo "Stopping Firewall: "
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t filter -F
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

tolstoy

2012-12-27, 07:38 PM
این که به نظر مشکل نداره . باید خروجی دستور iptables -L -v -n را بگیری بزاری تا بهتر بشه نظر داد

triumph

2012-12-29, 09:00 AM
ممنون بررسی میکنم اگر شد خبر میدم...

sadeqn

2012-12-31, 08:19 AM
به نظرم این قسمت Block Default را باید ببری آخر اسکریپت.
توجه داشته باشید که رول‌های iptable به ترتیب اجرا می‌شوند!
برای اینکه رولی را قبل از رول‌های موجود درج کنید از -I به جای -A استفاده کنید. (با -I می‌شه محل درج را هم مشخص کرد اما پیش‌فرض به عنوان اولین رول درج می‌شه)

tolstoy

2012-12-31, 11:06 AM
sadeqn نویسنده :به نظرم این قسمت Block Default را باید ببری آخر اسکریپت.
توجه داشته باشید که رول‌های iptable به ترتیب اجرا می‌شوند!
برای اینکه رولی را قبل از رول‌های موجود درج کنید از -I به جای -A استفاده کنید. (با -I می‌شه محل درج را هم مشخص کرد اما پیش‌فرض به عنوان اولین رول درج می‌شه)

اینکه ببر آخر اسکریپت کار درستیه چون در صورتی که از راه دور رول ها را ری ست کنه دسترسی ممکنه بپره. ولی مشکل ایشون در این مورد نیست. چون policy را عوض کرده، چه اول باشه چه آخر یه جاش مشخصه

sadeqn

2013-01-01, 06:17 AM
در صورتی که بسته‌ای در یک رول صدق کند، مثل اون خطی که پیش فرض همه پکت ها را فیلتر می‌کنه، رول دیگری قرار نیست بررسی بشه. پس ترتیب مهمه و خیلی خیلی هم مهمه.
<!-- m --><a class="postlink" href="http://www.novell.com/communities/node/3086/basic-iptables-tutorial">http://www.novell.com/communities/node/ ... s-tutorial</a><!-- m --> قسمت Rule status and ordering را بخونید.

tolstoy

2013-01-01, 07:45 AM
sadeqn نویسنده :در صورتی که بسته‌ای در یک رول صدق کند، مثل اون خطی که پیش فرض همه پکت ها را فیلتر می‌کنه، رول دیگری قرار نیست بررسی بشه. پس ترتیب مهمه و خیلی خیلی هم مهمه.
<!-- m --><a class="postlink" href="http://www.novell.com/communities/node/3086/basic-iptables-tutorial">http://www.novell.com/communities/node/ ... s-tutorial</a><!-- m --> قسمت Rule status and ordering را بخونید.

صادق جان عزیزم اون خط مربوط به policy هست و چه اول بزاری و چه آخر ، به عنوان پالیسی chain اعمال می شه و آخر از همه در نظر گرفته می شه. حالا می خوای اول بزن می خوای آخر

sadeqn

2013-01-02, 10:48 AM
حق باشمااست. اون خط‌ها را اشتباه خونده بودم!
انجمن کاربران لینوکس ایران - تکنوتاکس سابق > پرسش‌ها و پاسخ‌ها > لینوکس و امنیت > سوال iptables