iptables para jogar bem com tor e ntpd

Navegue suas respostas
1

Estou configurando um servidor para operar como um relay tor e nada mais. Eu configurei o iptables para permitir apenas falar na porta 9001 e funcionou bem, mas houve um problema, o relógio precisa ser configurado e mantido corretamente para que o relé funcione corretamente, então eu precisei de configuração e execução do ntpd, mas por alguma razão eu Não consigo fazer com que o iptables funcione como eu quero. Eu estou tentando permitir que apenas tor e ntpd conversem pela rede, mas quando eu configuro para permitir a porta 123 usando o udp, de repente ele ignora o meu -A OUTPUT! -S 127.0.0.1 -j DROP e permite que tudo passe. Como devo fazer isso? Por favor, desculpe minha ignorância, eu sou novo no iptables.

Eu passei por várias permutas, mas aqui estão as minhas regras: 

-A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
-A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 9001 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 9001 -j ACCEPT
-A INPUT ! -s 127.0.0.1 -j DROP
-A OUTPUT ! -s 127.0.0.1 -j DROP
    
por directedition 13.05.2010 / 05:21

1 resposta

3

duas dicas genéricas. como primeiras regras sempre colocadas: 

iptables -P DROP 
iptables -F # clean things up. i assume you connect locally, otherwise your ssh will stop to work.
itables -A INPUT -i lo -j ACCEPT
itables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

e depois os seus regulares 

iptables -A INPUT -p udp --dport 123 -j ACCEPT # assuming you are ntp server
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT # try to narrow it down using -s to couple public ntp servers
iptables -A INPUT -m state --state NEW -p tcp --dport 9001 -j ACCEPT # assuming you take incomming tor connections here
iptables -A OUTPUT -m state --state NEW  -p tcp --dport 9001 -j ACCEPT # assuming you allow outgoing connections to other tor nodes
    
por 13.05.2010 / 13:56

Tags

O ImageX é necessário depois de um Sysprep ao preparar o Virtual PC para duplicação? Eu não vejo o convidado em execução no virsh