К списку форумов К списку вопросов
iptables. Наружу прут пакеты изнутри.
Vzhik
20.09.2004 - 10:25
в etc/sysconfig/iptables прописал: (eth0 наружный интерфейс)
-A FORWARD -s 192.168.6.0/24 -i eth0 -j DROP
-A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -i eth0 -j DROP
-A FORWARD -s 0/0 -p tcp -m tcp --dport 135 -i eth0 -j DROP
что-то не помогает..
Вирусняки внутри шлут что-то типа
 192.168.6.35.1906 > 77.11.73.116.445: S 4202999693:4202999693(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
и это все вылазиет на наружном интефейсе, с исходным адресом отправителя..
где я туплю? че не так делаю?
политика по умолчанию ACCEPT, но если я явно закрываю должно ведь работать...
lithium
1 - 20.09.2004 - 10:39
а ты уверен, что eth0 -- внутренний интерфейс ;)
как определял факт выхода пакета наружу?
leschakon2004
2 - 20.09.2004 - 11:24
Vzhik
а ты очистил цепочки по умолчанию ?
8-))
3 - 20.09.2004 - 12:07
1 прав, опция -i указывает INPUT interface. Если eth0 - внешний, то данное правило не работает.
Vzhik
4 - 20.09.2004 - 13:33
8-)), с -о кажется не работало вообще. ругалось при загрузке.
-
факт фыхода - tcpdump мной на наружном интерфейсе, а также на наружном девайсе видно..
leschakon2004, у меня в них кажется никогда ничего и небыло.. все только в конфиге задавалось...
-
блин, с -о попробую скажу точно что было...
leschakon2004
5 - 20.09.2004 - 14:29
(так на всякий случай)
Слушай Vzhik а ты, ipchains вырубил ? Ведь после установки некоторых линухов она подключается.
1) Отрубать так вроде надо, чтобы воще не грузилась.
chkconfig --level 01234567 ipchains off
2) Для включения iptables вместо ipchains надо
chkconfig --level 01234567 iptables on
3) Режь эту гадость в цепочках INPUT или OUTPUT
Вот например как зарезать можно все входящие па внутренний интерфейс пакеты (если eth1 - смортит в локалку)
iptables -A INPUT -i eth1 -p tcp --dport 135 -j REJECT
iptables -A INPUT -i eth1 -p tcp --dport 445 -j REJECT
режется все что попадает на внутренний интерфейс порт 135 и 445 по протоколу TCP
А так урезать то же самое, но уодящее наружу с внешнего интерфейса.
iptables -A OUTPUT -o eth0 -p tcp --dport 135 -j REJECT
iptables -A OUTPUT -o eth0 -p tcp --dport 445 -j REJECT
lithium
6 - 20.09.2004 - 14:48
> chkconfig --level 01234567 ipchains off
7 уровень -- это серьезно ;)
> 3) Режь эту гадость в цепочках INPUT или OUTPUT
вообще-то, через эти цепочки не проходит пересылаемый трафик, он идет через FORWARD...
leschakon2004
7 - 20.09.2004 - 15:35
1) Ну с 7 уровнем я загнул :=)
Перефразирую слегка:
Для отключения ipchains надо посмотреть, на каких уровнях она запускается
командой:
 chkconfig --list ipchains .
И выключить ее на этих уровнях командой:
chkconfig --level 0...n ipchains off
где 0...n - номера уровней.
2) Раз пересылаемые не проходят через INPUT и OUTPUT
то пишем правило для FORWARD (режем все, что идет с сети 192.168.6.0/24 на порты 445 и 135 по TCP)
iptables -A FORWARD -p tcp -s 192.168.6.0/24 --dport 445 -j DROP
iptables -A FORWARD -p tcp -s 192.168.6.0/24 --dport 135 -j DROP
Vzhik
8 - 20.09.2004 - 21:09
на свякий случай: ipchins вырубил, и очень давно. когда на iptables переходил.
прописал:
-A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -o eth0 -j DROP
-A FORWARD -s 0/0 -p tcp -m tcp --dport 445 -i eth2 -j DROP
один фиг прет все наружу.
leschakon2004, правильно будет
-A FORWARD -s 192.168.6.0/24 -p tcp -m tcp --dport 445 -j DROP
и все равно не закрывает..
Я уже не знаю че думать..
Vzhik
9 - 20.09.2004 - 21:22
люди! больше спите и отдыхайте! Если устали забивайте на работу с чистой совестью и не партесь!! Я давно так не тупил.. интерфейсы попутал. eth0 это внутренний.. Пинцет.
конечно все отлично работает.
спать.
gloomymen
10 - 20.09.2004 - 23:44
Граждане, в знаменитом переводе читал, что автор перевода столкнулся с необходимостью явного указания "-m tcp". У кого-то из вас, тоже возникала такая необходимость, или так - на вс. случай передираем?
Vzhik, а так тоже неправильно? ;)
-A FORWARD -j DROP -p tcp -s 192.168.6.0/24 --dport 445
lithium
11 - 21.09.2004 - 10:18
to gloomymen:
я просто передираю...
gloomymen
12 - 22.09.2004 - 00:08
lithium, лады, оставим за кадром
и все же вопрос не праздный - кто-нибудь сталквался с необходимостью прямого указания загрузки расширения tcp?

К списку вопросов на форуме Сети

>>