Настройка firewall VPS ubuntu

**CHEM_Eugene** » Вт фев 17, 2015 11:21 am

Добрый день!

Хочу настроить firewall на своем VPS на базе ubuntu.
Делаю по инструкции https://help.ubuntu.com/community/IptablesHowTo
В итоге на правило:

Код: выделить все: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

получаю:

Код: выделить все: iptables: No chain/target/match by that name.

Собственно хочу заблокировать всё, кроме ssh, www и ping. И ещё переходы на сайт с semalt.semalt.com.
IPSManager нет.

В чем может быть причина ошибки?

ls » Вт фев 17, 2015 1:25 pm

Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables

**CHEM_Eugene** » Вт фев 17, 2015 1:52 pm

Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables

Есть какие-то альтернативы?
Можно ли обойтись без state?

**swg** » Вт фев 17, 2015 4:02 pm

1. Виртуализация KVM, там все будет работать
2. Альтернатива. Не понимаю я "заблокировать всё", что всё? Не для таких целей iptables используют обычно, а все же для маршрутизации. Настроить правильно, чтобы софт слушал на 127.0.0.1, а на Public IP вот как раз только apache и sshd были. Проверять netstat -an | grep LISTEN.
3.

Код: выделить все: iptables -A INPUT -p tcp --dport (n) -j ACCEPT

работает? Ну и разрешить для 22 и 80, а остальное в drop.

**CHEM_Eugene** » Вт фев 17, 2015 4:11 pm

Ну и разрешить для 22 и 80, а остальное в drop

Это я и имел ввиду под "заблокировать всё".

iptables -A INPUT -p tcp --dport (n) -j ACCEPT

это работает, да.
После того, как я отправляю все в DROP, кроме 80 и 22, у меня DNS оказывается недоступен изнутри наружу.
Например ping ya.ru выдает: unknown host.
Пробовал разрешить так:

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

но не помогло

**swg** » Вт фев 17, 2015 4:30 pm

CHEM_Eugene писал(а): у меня DNS оказывается недоступен изнутри наружу.

Так точно. https://toster.ru/q/55782

**CHEM_Eugene** » Вт фев 17, 2015 7:05 pm

Так точно. https://toster.ru/q/55782

Что я делаю не так? Вот что у меня настроено:

Код: выделить все: -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

По-прежнему unknown host ya.ru

**pepper** » Вт фев 17, 2015 7:13 pm

Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):

Код: выделить все: -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.

**swg** » Вт фев 17, 2015 7:25 pm

Думаю, в OUTPUT вообще незачем вам блокировать что-то. Пусть сервер шлет, что хочет. К тому же у вас -P OUTPUT ACCEPT :-)
И TCP, вероятно, ни при чем.
В общем, когда вас спрашивают о DNS, ответ отсылаете с произвольного порта; а когда вы спрашиваете, то ответ вам приходит на произвольный. Поэтому ( -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT )

**CHEM_Eugene** » Вт фев 17, 2015 8:38 pm

pepper писал(а):Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):
Код: выделить все
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.

Не помогло (( Вот мой /etc/resolv.conf:

Код: выделить все: # Generated by NetworkManager nameserver 188.120.247.2 nameserver 8.8.8.8

Данные ip пингуются.

**swg** » Вт фев 17, 2015 9:05 pm

И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.

**CHEM_Eugene** » Ср фев 18, 2015 9:52 am

swg писал(а):И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.

Огромное спасибо за объяснение и помощь. Пинги пошли! Не задумывался никогда как DNS работает)

**demiiT** » Сб июл 29, 2017 9:45 pm

В чем может быть проблема, что при подобных установках iptables, при установке программ через apt-get не скачиваются данные . Какие порты нужно открыть?

ls » Пт авг 04, 2017 4:02 am

Здравствуйте,
а покажите весь вывод iptables-save что у вас там настроено

Настройка firewall VPS ubuntu

Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Re: Настройка firewall VPS ubuntu

Кто сейчас на форуме