problem z iptables i modułem state

Patrycjusz Fudała pfudala w katowice.wskr.gov.pl
Wto, 14 Gru 2004, 13:15:32 CET 

Użytkownik Jacek Osiecki napisał:

> On Tue, 14 Dec 2004, Patrycjusz Fudała wrote:
>
>> Witam wszystkich.
>> Mam problem z filtrowaniem pakietów na iptables, a mianowicie:
>> ustawiam regułę na INPUT :
>> iptables -A INPUT -p tcp -i eth0 -s 192.168.0.2/32 --dport 22 -m 
>> state --state NEW -j ACCEPT
>> a regułę na OUTPUT:
>> iptables -A OUTPUT -p tcp -o eth0 -m state --state 
>> ESTABLISHED,RELATED -j ACCEPT.
>> efekt jest taki że nie moge się połączyć przez ssh do serwera, 
>> natomiast jeśli pozbędę się w łańcuchu na INPUT
>> parametru -m state --state NEW nie ma problemu z połączeniem. 
>> Posiadam kernel 2.6.8-4 i iptables 1.2.11
>
>
> Rozumiem że na końcu łańcucha INPUT masz -j DROP?

Zgadza się - politykę łancucha INPUT mam ustawioną na DROP

>
> Przecież musisz jakoś przesyłać do serwera dane 

racja dlatego wszystko co idzie na port 22  z ssh jest wpuszczane i 
pakiety które przychodzą powinny zostać oznaczone przez state jako NEW 
by mogły zostać wypuszczone przez łańcuch OUTPUT gdyż jeśli usunę z 
łańcucha OUTPUT parametr -m state --state ESTABLISHED, RELATED, i z 
łancuch INPUT -m state --state NEW połączenie nie da się rady ustanowić. 
Więc jeśli dobrze rozumię parametr NEW mówi tylko modułowi state że ma 
wypuszczać na zewnątrz pakiety tylko związane z tymi które zostały 
zaznaczone jako NEW?

> - albo dodaj -m state
> --state ESTABLISHED,RELATED -j ACCEPT do łańcucha INPUT, albo usuń -m 
> state
> --state NEW i zostaw samo --dport 22 -j ACCEPT.


Dodanie reguły na INPUT :
iptables -A INPUT -p tcp -i etho -m state --state ESTABLISHED,RELATED -j 
ACCEPT
nic nie pomaga.

>
>> Czy to błąd w module state w obsłude protokołu tcp gdyż analogiczne 
>> reguły na protokuł icmp działają prawidłowo.
>
>
> W ICMP idzie do serwera jeden pakiet - a potem jest odbijany z powrotem.
> Gdyby ICMP ustanawiało sesję i wysyłało dalej dane (tak jak SSH) to by 
> nie
> działało.

Racja ICMP nie przesyła danych.

>
> P.S. To wszystko tak na mój mały rozumek - może czegoś nie rozumiem, 
> ale to
> mi się wydaje oczywiste ;)

Pozdrawiam
patras

>  


>------------------------------------------------------------------------
>
>_______________________________________________
>pld-users-pl mailing list
>pld-users-pl w pld-linux.org
>http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
>  
>

Więcej informacji o liście dyskusyjnej pld-users-pl