Страница 1 из 1

Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 11:21 am
CHEM_Eugene
Добрый день!

Хочу настроить firewall на своем VPS на базе ubuntu.
Делаю по инструкции https://help.ubuntu.com/community/IptablesHowTo
В итоге на правило:
Код: выделить все
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

получаю:
Код: выделить все
iptables: No chain/target/match by that name.


Собственно хочу заблокировать всё, кроме ssh, www и ping. И ещё переходы на сайт с semalt.semalt.com.
IPSManager нет.

В чем может быть причина ошибки?

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 1:25 pm
ls
Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 1:52 pm
CHEM_Eugene
Виртуализация как я понимаю OpenVZ - там нет модуля ipt_state в iptables

Есть какие-то альтернативы?
Можно ли обойтись без state?

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 4:02 pm
swg
1. Виртуализация KVM, там все будет работать
2. Альтернатива. Не понимаю я "заблокировать всё", что всё? Не для таких целей iptables используют обычно, а все же для маршрутизации. Настроить правильно, чтобы софт слушал на 127.0.0.1, а на Public IP вот как раз только apache и sshd были. Проверять netstat -an | grep LISTEN.
3.
Код: выделить все
iptables -A INPUT -p tcp --dport (n) -j ACCEPT
работает? Ну и разрешить для 22 и 80, а остальное в drop.

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 4:11 pm
CHEM_Eugene
Ну и разрешить для 22 и 80, а остальное в drop

Это я и имел ввиду под "заблокировать всё".
iptables -A INPUT -p tcp --dport (n) -j ACCEPT

это работает, да.
После того, как я отправляю все в DROP, кроме 80 и 22, у меня DNS оказывается недоступен изнутри наружу.
Например ping ya.ru выдает: unknown host.
Пробовал разрешить так:
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

но не помогло

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 4:30 pm
swg
CHEM_Eugene писал(а): у меня DNS оказывается недоступен изнутри наружу.

Так точно. https://toster.ru/q/55782

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 7:05 pm
CHEM_Eugene
Так точно. https://toster.ru/q/55782


Что я делаю не так? Вот что у меня настроено:
Код: выделить все
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

По-прежнему unknown host ya.ru

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 7:13 pm
pepper
Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):
Код: выделить все
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 7:25 pm
swg
Думаю, в OUTPUT вообще незачем вам блокировать что-то. Пусть сервер шлет, что хочет. К тому же у вас -P OUTPUT ACCEPT :-)
И TCP, вероятно, ни при чем.
В общем, когда вас спрашивают о DNS, ответ отсылаете с произвольного порта; а когда вы спрашиваете, то ответ вам приходит на произвольный. Поэтому ( -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT )

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 8:38 pm
CHEM_Eugene
pepper писал(а):Попробуйте ещё разрешить tcp для 53 порта (обычно для стандартных запросов используется UDP, однако, к примеру, для трансфера зоны нужен TCP):
Код: выделить все
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

Если и это не поможет, на всякий случай, приведите тут содержимое вашего /etc/resolv.conf.


Не помогло (( Вот мой /etc/resolv.conf:

Код: выделить все
# Generated by NetworkManager
nameserver 188.120.247.2
nameserver 8.8.8.8

Данные ip пингуются.

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Вт фев 17, 2015 9:05 pm
swg
И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Ср фев 18, 2015 9:52 am
CHEM_Eugene
swg писал(а):И не поможет. Я выше написал почему и строку, посмотрите на нее внимательно, она для INPUT у вас она не такая. А писать в OUTPUT правила c accept без единого drop при OUTPUT ACCEPT бессмысленно. Не надо тупо копировать-вставить. По ссылке было написана причина, а DNS он "двусторонний". Вы можете быть и сервером и клиентом.

Огромное спасибо за объяснение и помощь. Пинги пошли! Не задумывался никогда как DNS работает)

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Сб июл 29, 2017 9:45 pm
demiiT
В чем может быть проблема, что при подобных установках iptables, при установке программ через apt-get не скачиваются данные . Какие порты нужно открыть?

Re: Настройка firewall VPS ubuntu

СообщениеДобавлено: Пт авг 04, 2017 4:02 am
ls
Здравствуйте,
а покажите весь вывод iptables-save что у вас там настроено