Como corrijo esses iptables?

Question

Como corrijo esses iptables?

#1 resposta do (0 votos)

0

Estou tentando configurar o firewall da minha rede e estou tendo problemas porque continuo sendo expulso do SSH por causa de erros. Aqui está o que eu tenho atualmente:

# Custom Rules
iptables -F
iptables -X
iptables -P FORWARD DROP
iptables -N mc
iptables -A mc --src 123.456.789.1 -j ACCEPT
iptables -A mc --src 123.456.789.2 -j ACCEPT
iptables -A mc --src 50.50.50.50 -j ACCEPT
iptables -A mc -i lo -j ACCEPT
iptables -A mc -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A mc -m state --state INVALID -j DROP
iptables -A mc -j DROP

# Server Rules (Main Server)
iptables -A INPUT -p tcp --match multiport --dports 64000:64321 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j mc
iptables -A INPUT -p tcp -m multiport ! --dports 20,21,22,80,443,9987,20117,25565 -j mc
iptables -A INPUT -j DROP

Basicamente:

Permitir acesso às portas 64000: 64321
Permitir acesso no TCP (do esporte 53) para as portas 1024: 65535
Permitir acesso no UDP (do esporte 53) para as portas 1024: 65535
Permitir acesso de solicitações de ping ICMP, das fontes listadas acima
Permitir acesso à porta 3306 usando as regras mc
Filtrar acesso das portas 20,21,22,80,443,9987,20117,25565 a mc regras
Negar todas as outras entradas

ssh networking iptables firewall linux

por Brian Graham 17.05.2014 / 02:51

1 resposta

Tags ssh networking iptables firewall linux

Sudo Cmnd_Alias Argumentos opcionais Podemos configurar um aplicativo em tela cheia e só permitir que os usuários operem dentro do aplicativo?

score 0 · Answer 1

Primeiro de tudo "Filtrar o acesso das portas 20,21,22,80,443,9987,20117,25565 através de regras mc" com esta regra:
iptables -A INPUT -p tcp -m multiport ! --dports 20,21,22,80,443,9987,20117,25565 -j mc
não funcionará por causa do ponto de exclamação. Sua regra funciona para todas as portas, exceto 20,21,22,80,443,9987,20117,25565 . Se você quiser "filtrar o acesso das portas 20,21,22,80,443,9987,20117,25565 através de regras mc" você deve usar:
iptables -A INPUT -p tcp -m multiport --dports 20,21,22,80,443,9987,20117,25565 -j mc

Por enquanto, na sua configuração, você permite o acesso ssh apenas a um dos endereços de origem cache.ovh.net - nas principais regras INPUT . Para conexões com outras portas, você tem a regra:% iptables -A mc -m state --state RELATED,ESTABLISHED -j ACCEPT que permite que conexões relacionadas e estabelecidas funcionem. Eu acho que conexões com endereços de origem de suas regras personalizadas mc devem funcionar bem, mas para a regra principal INPUT você deve adicionar algo assim:
iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -m state --state RELATED,ESTABLISHED -j ACCEPT
logo após esta linha:
iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT

Além disso, você deve verificar as configurações de DNS. O ping.ovh.net resolve o endereço IP correto?