stateful firewall issues (Was Re: Think Simple!)

george zakinthinos at freemail.gr
Tue Sep 5 03:02:03 EEST 2006 

Giorgos Keramidas wrote:

> On 2006-09-02 23:16, george <zakinthinos at freemail.gr> wrote:
>>>zakinthinos wrote:

>>πως γινεται να αλλαξεις τα παραπανω ωστε ο χρηστης να βλεπει οποιον
>>www, ftp, pop3 , smtp server θελει (οι οποιοι απαντουν σε random
>>unprivileged ports στην πλευρα του client) και να εχεις κλειστα τα
>>ports >=1024
>>
>>netstat -an =   client:56706 --- > server:www
>>
>>σου αναφερω για το web γιατι αυτο ειναι το βασικο προβλημα εφοσον δεν
>>γνωριζουμε ποιο url Θα δωσει ο χρηστης αρα δεν εχουμε ουτε το ip του
>>server ουτε σε ποιο port Θα μας απαντησει
> 
> 
> Εδώ είναι που κάνεις λάθος τόσο καιρό.  Το server-side port number είναι
> ΠΑΝΤΑ ΤΟ ΙΔΙΟ.  Το client-side port δεν έχει σημασία, αρκεί να γράψεις
> τον κανόνα σου σωστά.
> 
> Τι νομίζεις ότι κάνει ο παρακάτω κανόνας;
> 
>     iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED \
>         -s $PPP_LOCAL -j ACCEPT
> 
οτι κανει και το iptables -P OUTPUT ACCEPT ?
επιτρεπει νεες συνδεσεις στον χρηστη και αφηνει
οσα πακετα ανηκουν σε ESTABLISHED,RELATED να
περνανε προς τα εξω

τον παραπανω κανονα της output μου τον εγραψες και
στο πρωτο firewall script στο οποιο δεν ειχες κανενα
κανονα στην INPUT ωστε να κανει αποδεκτα τα πακετα
απο τους servers, υποθετω οτι καποιος τροπος υπαρχει
ωστε οι παρακατω κανονες να αποδειχτουν "περιττοι" ?

δυστυχως δεν "βλεπω" την σχεση του κανονα της output
με το προβλημα οτι τα ports>1024 ειναι open
(και δινουν δικαιωμα στον XYZ server να συνδεθει οπου
θελει)

(οι κανονες εχουν αλλαξει - εφυγε το multiport)

#accept responses from machines we started connections
#to, allow them to connect to any unprivilledged port
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p tcp -d 
$PPP_LOCAL --dport 1024: -j ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p udp -d 
$PPP_LOCAL --dport 1024: -j ACCEPT

παντως πεσαμε στις δυο γραμμες, προοδος , προοδος

γιωργος

____________________________________________________________________
http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.
http://www.freemail.gr - free email service for the Greek-speaking.

More information about the Linux-greek-users mailing list