Comments: |
Паранойя у меня. Но как оказалось, с линуксоидного компа вообще интернет недоступен, хотя порты вроде открыты.
| From: | ketmar |
Date: | November 17th, 2014 - 06:05 pm |
---|
| | | (Link) |
|
паранойя лечится запуском блобятины из-под отдельного юзера, которому-то как раз интернеты можно и прикрыть. как я вайну сделал.
и открой ты всё, не занимайся хуйнёй. в том числе и UDP, потому что DNS-запросы же.
Я, кстати, изгрыз инструкцию по IPTABLES до дыр, но так и не нашел как юзеру интернеты закрыть/открыть.
| From: | ketmar |
Date: | November 17th, 2014 - 07:34 pm |
---|
| | | (Link) |
|
хуйнёй занимаешься потому что. есть же ferm.
Я его ставил. Но не помню уже, почему снес. То-ли он оказался еще сложнее, чем голый iptables, то-ли просто не взлетел.
А, да. Оказалось он тогда не взлетел. И я разобрался (наверное) почему. Буду пробовать дальше (а всего-то надо было отвлечься и догадался). Но если тебе не влом, сможешь привести пример конфига для этой штуковины? Чтоб оно делало следующее:
#Open standart ports (from computer) echo "Open standart ports (DNS,WWW, email) from server" # 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg) iptables -A INPUT -p udp -m multiport --sports 53 -j ACCEPT iptables -A INPUT -p tcp -m multiport --sports 53,80,8080,443,110,443,25,587,873 -j ACCEPT iptables -A OUTPUT -p udp -m multiport --dports 53 -j ACCEPT iptables -A OUTPUT -p tcp -m multiport --dports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
Можно не все порты, хотя бы 2. И блин я решительно не понимаю, почему на старом компе оно и так работало, а на новом с той же конфигурацией не летит, хоть тресни.
| From: | ketmar |
Date: | November 17th, 2014 - 11:21 pm |
---|
| | | (Link) |
|
я хуй знает, что вот эти все буквы делают, у меня никогда не хватало мозга понять. я потому ferm и использую. ты словами напиши, чо надо.
Для доступа с компьютера открыть порты 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg), да, политики по-умолчанию установлены в
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT
Т.е. без дополнительных правил разрешен только форвардинг.
| From: | ketmar |
Date: | November 17th, 2014 - 11:46 pm |
---|
| | | (Link) |
|
редкий извращенец.
domain ip {
table filter {
chain INPUT {
policy DROP;
saddr (127.0.0.1/8) ACCEPT;
proto icmp ACCEPT;
}
chain OUTPUT {
# i'm paranoid idiot
policy DROP;
# DON'T be so paranoid idiot, really
proto icmp ACCEPT;
saddr (127.0.0.1/8 10.0.0.0/24) ACCEPT;
proto (tcp) dport (80 8080 443 110 25 587 873) ACCEPT;
proto (udp) dport 53 ACCEPT;
}
chain FORWARD {
policy ACCEPT;
}
}
}
что-то в этом роде.
| From: | ketmar |
Date: | November 17th, 2014 - 11:47 pm |
---|
| | | (Link) |
|
в аутпут daddr, конечно.
Слава Ктулху. Зато на этом сервере ferm все-таки собрался.
| From: | ketmar |
Date: | November 17th, 2014 - 11:48 pm |
---|
| | | (Link) |
|
э… ferm не надо собирать, это просто перловый скрипт.
| From: | ketmar |
Date: | November 17th, 2014 - 11:21 pm |
---|
| | | (Link) |
|
алсо, чего там приводить, если ferm умеет конвертировать из iptables в себя?
Дык вот, почему-то оно работало на старом сервере, на новом с той же конфигурацией не хочет. Т.е. форвардинг проходит (еще б он не проходил), а заходишь на сервер - инета с сервера нет, хоть тресни, я вообще хуево понимаю, чо за хрень творится. По идее-то, если б оно изначально не работало, то не работало бы и на том сервере, а там оно работало. На новом оно хуй заводится вообще. При этом работают SSH, VPN из внутренней сети, которые разрешены по образу и подобию, только для SSH, например, sport и dport местами поменяны (направление-то другое) и дописана подсеть.
| From: | hex_laden |
Date: | November 27th, 2014 - 03:30 am |
---|
| | я ж таки | (Link) |
|
Нашел косяк и поправил. Вместо ДНС получалась какая-то херня, прописал нормально, все полетело. Зря я на нетфильтр грешил. | |