![]() |
![]() |
Vzhik 20.09.2004 - 10:25 |
в etc/sysconfig/iptables прописал: (eth0 наружный интерфейс) -A FORWARD -s 192.168.6.0/24 -i eth0 -j DROP -A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -i eth0 -j DROP -A FORWARD -s 0/0 -p tcp -m tcp --dport 135 -i eth0 -j DROP что-то не помогает.. Вирусняки внутри шлут что-то типа 192.168.6.35.1906 > 77.11.73.116.445: S 4202999693:4202999693(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) и это все вылазиет на наружном интефейсе, с исходным адресом отправителя.. где я туплю? че не так делаю? политика по умолчанию ACCEPT, но если я явно закрываю должно ведь работать... |
lithium 1 - 20.09.2004 - 10:39 |
а ты уверен, что eth0 -- внутренний интерфейс ;) как определял факт выхода пакета наружу? |
leschakon2004 2 - 20.09.2004 - 11:24 |
Vzhik а ты очистил цепочки по умолчанию ? |
8-)) 3 - 20.09.2004 - 12:07 | 1 прав, опция -i указывает INPUT interface. Если eth0 - внешний, то данное правило не работает. |
Vzhik 4 - 20.09.2004 - 13:33 |
8-)), с -о кажется не работало вообще. ругалось при загрузке. - факт фыхода - tcpdump мной на наружном интерфейсе, а также на наружном девайсе видно.. leschakon2004, у меня в них кажется никогда ничего и небыло.. все только в конфиге задавалось... - блин, с -о попробую скажу точно что было... |
leschakon2004 5 - 20.09.2004 - 14:29 |
(так на всякий случай) Слушай Vzhik а ты, ipchains вырубил ? Ведь после установки некоторых линухов она подключается. 1) Отрубать так вроде надо, чтобы воще не грузилась. chkconfig --level 01234567 ipchains off 2) Для включения iptables вместо ipchains надо chkconfig --level 01234567 iptables on 3) Режь эту гадость в цепочках INPUT или OUTPUT Вот например как зарезать можно все входящие па внутренний интерфейс пакеты (если eth1 - смортит в локалку) iptables -A INPUT -i eth1 -p tcp --dport 135 -j REJECT iptables -A INPUT -i eth1 -p tcp --dport 445 -j REJECT режется все что попадает на внутренний интерфейс порт 135 и 445 по протоколу TCP А так урезать то же самое, но уодящее наружу с внешнего интерфейса. iptables -A OUTPUT -o eth0 -p tcp --dport 135 -j REJECT iptables -A OUTPUT -o eth0 -p tcp --dport 445 -j REJECT |
lithium 6 - 20.09.2004 - 14:48 |
> chkconfig --level 01234567 ipchains off 7 уровень -- это серьезно ;) > 3) Режь эту гадость в цепочках INPUT или OUTPUT вообще-то, через эти цепочки не проходит пересылаемый трафик, он идет через FORWARD... |
leschakon2004 7 - 20.09.2004 - 15:35 |
1) Ну с 7 уровнем я загнул :=) Перефразирую слегка: Для отключения ipchains надо посмотреть, на каких уровнях она запускается командой: chkconfig --list ipchains . И выключить ее на этих уровнях командой: chkconfig --level 0...n ipchains off где 0...n - номера уровней. 2) Раз пересылаемые не проходят через INPUT и OUTPUT то пишем правило для FORWARD (режем все, что идет с сети 192.168.6.0/24 на порты 445 и 135 по TCP) iptables -A FORWARD -p tcp -s 192.168.6.0/24 --dport 445 -j DROP iptables -A FORWARD -p tcp -s 192.168.6.0/24 --dport 135 -j DROP |
Vzhik 8 - 20.09.2004 - 21:09 |
на свякий случай: ipchins вырубил, и очень давно. когда на iptables переходил. прописал: -A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -o eth0 -j DROP -A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -i eth2 -j DROP один фиг прет все наружу. leschakon2004, правильно будет -A FORWARD -s 192.168.6.0/24 -p tcp -m tcp --dport 445 -j DROP и все равно не закрывает.. Я уже не знаю че думать.. |
Vzhik 9 - 20.09.2004 - 21:22 |
люди! больше спите и отдыхайте! Если устали забивайте на работу с чистой совестью и не партесь!! Я давно так не тупил.. интерфейсы попутал. eth0 это внутренний.. Пинцет. конечно все отлично работает. спать. |
gloomymen 10 - 20.09.2004 - 23:44 |
Граждане, в знаменитом переводе читал, что автор перевода столкнулся с необходимостью явного указания "-m tcp". У кого-то из вас, тоже возникала такая необходимость, или так - на вс. случай передираем? Vzhik, а так тоже неправильно? ;) -A FORWARD -j DROP -p tcp -s 192.168.6.0/24 --dport 445 |
lithium 11 - 21.09.2004 - 10:18 |
to gloomymen: я просто передираю... |
gloomymen 12 - 22.09.2004 - 00:08 |
lithium, лады, оставим за кадром и все же вопрос не праздный - кто-нибудь сталквался с необходимостью прямого указания загрузки расширения tcp? |