problem z iptables i modułem state
Jacek Osiecki
joshua w hybrid.pl
Wto, 14 Gru 2004, 12:41:58 CET
On Tue, 14 Dec 2004, Patrycjusz Fudała wrote:
> Witam wszystkich.
> Mam problem z filtrowaniem pakietów na iptables, a mianowicie:
> ustawiam regułę na INPUT :
> iptables -A INPUT -p tcp -i eth0 -s 192.168.0.2/32 --dport 22 -m state --state
> NEW -j ACCEPT
> a regułę na OUTPUT:
> iptables -A OUTPUT -p tcp -o eth0 -m state --state ESTABLISHED,RELATED -j
> ACCEPT.
> efekt jest taki że nie moge się połączyć przez ssh do serwera, natomiast jeśli
> pozbędę się w łańcuchu na INPUT
> parametru -m state --state NEW nie ma problemu z połączeniem. Posiadam kernel
> 2.6.8-4 i iptables 1.2.11
Rozumiem że na końcu łańcucha INPUT masz -j DROP?
Przecież musisz jakoś przesyłać do serwera dane - albo dodaj -m state
--state ESTABLISHED,RELATED -j ACCEPT do łańcucha INPUT, albo usuń -m state
--state NEW i zostaw samo --dport 22 -j ACCEPT.
> Czy to błąd w module state w obsłude protokołu tcp gdyż analogiczne reguły na
> protokuł icmp działają prawidłowo.
W ICMP idzie do serwera jeden pakiet - a potem jest odbijany z powrotem.
Gdyby ICMP ustanawiało sesję i wysyłało dalej dane (tak jak SSH) to by nie
działało.
P.S. To wszystko tak na mój mały rozumek - może czegoś nie rozumiem, ale to
mi się wydaje oczywiste ;)
Pozdrawiam,
--
Jacek Osiecki joshua w ceti.pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
Więcej informacji o liście dyskusyjnej pld-users-pl