Настройка firewall VPS ubuntu

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Вт фев 17, 2015 11:21 am

Добрый день!

Хочу настроить firewall на своем VPS на базе ubuntu.
Делаю по инструкции https://help.ubuntu.com/community/IptablesHowTo
В итоге на правило:
Код: выделить все
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

получаю:
Код: выделить все
iptables: No chain/target/match by that name.


Собственно хочу заблокировать всё, кроме ssh, www и ping. И ещё переходы на сайт с semalt.semalt.com.
IPSManager нет.

В чем может быть причина ошибки?
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение ls » Вт фев 17, 2015 1:25 pm

Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Вт фев 17, 2015 1:52 pm

Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables

Есть какие-то альтернативы?
Можно ли обойтись без state?
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение swg » Вт фев 17, 2015 4:02 pm

1. Виртуализация KVM, там все будет работать
2. Альтернатива. Не понимаю я "заблокировать всё", что всё? Не для таких целей iptables используют обычно, а все же для маршрутизации. Настроить правильно, чтобы софт слушал на 127.0.0.1, а на Public IP вот как раз только apache и sshd были. Проверять netstat -an | grep LISTEN.
3.
Код: выделить все
iptables -A INPUT -p tcp --dport (n) -j ACCEPT
работает? Ну и разрешить для 22 и 80, а остальное в drop.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Вт фев 17, 2015 4:11 pm

Ну и разрешить для 22 и 80, а остальное в drop

Это я и имел ввиду под "заблокировать всё".
iptables -A INPUT -p tcp --dport (n) -j ACCEPT

это работает, да.
После того, как я отправляю все в DROP, кроме 80 и 22, у меня DNS оказывается недоступен изнутри наружу.
Например ping ya.ru выдает: unknown host.
Пробовал разрешить так:
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

но не помогло
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение swg » Вт фев 17, 2015 4:30 pm

CHEM_Eugene писал(а): у меня DNS оказывается недоступен изнутри наружу.

Так точно. https://toster.ru/q/55782
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Вт фев 17, 2015 7:05 pm

Так точно. https://toster.ru/q/55782


Что я делаю не так? Вот что у меня настроено:
Код: выделить все
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

По-прежнему unknown host ya.ru
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение pepper » Вт фев 17, 2015 7:13 pm

Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):
Код: выделить все
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: Настройка firewall VPS ubuntu

Сообщение swg » Вт фев 17, 2015 7:25 pm

Думаю, в OUTPUT вообще незачем вам блокировать что-то. Пусть сервер шлет, что хочет. К тому же у вас -P OUTPUT ACCEPT :-)
И TCP, вероятно, ни при чем.
В общем, когда вас спрашивают о DNS, ответ отсылаете с произвольного порта; а когда вы спрашиваете, то ответ вам приходит на произвольный. Поэтому ( -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT )
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Вт фев 17, 2015 8:38 pm

pepper писал(а):Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):
Код: выделить все
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.


Не помогло (( Вот мой /etc/resolv.conf:

Код: выделить все
# Generated by NetworkManager
nameserver 188.120.247.2
nameserver 8.8.8.8

Данные ip пингуются.
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение swg » Вт фев 17, 2015 9:05 pm

И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Настройка firewall VPS ubuntu

Сообщение CHEM_Eugene » Ср фев 18, 2015 9:52 am

swg писал(а):И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.

Огромное спасибо за объяснение и помощь. Пинги пошли! Не задумывался никогда как DNS работает)
CHEM_Eugene
 
Сообщений: 14
Зарегистрирован: Пн окт 11, 2010 2:13 pm

Re: Настройка firewall VPS ubuntu

Сообщение demiiT » Сб июл 29, 2017 9:45 pm

В чем может быть проблема, что при подобных установках iptables, при установке программ через apt-get не скачиваются данные . Какие порты нужно открыть?
demiiT
 
Сообщений: 1
Зарегистрирован: Сб июл 29, 2017 9:29 pm

Re: Настройка firewall VPS ubuntu

Сообщение ls » Пт авг 04, 2017 4:02 am

Здравствуйте,
а покажите весь вывод iptables-save что у вас там настроено
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4