problem z iptables i modułem state
Jacek Osiecki
joshua w hybrid.pl
Wto, 14 Gru 2004, 13:28:51 CET
On Tue, 14 Dec 2004, Patrycjusz Fudała wrote:
> Użytkownik Jacek Osiecki napisał:
>> On Tue, 14 Dec 2004, Patrycjusz Fudała wrote:
>>> efekt jest taki że nie moge się połączyć przez ssh do serwera, natomiast
>>> jeśli pozbędę się w łańcuchu na INPUT
>>> parametru -m state --state NEW nie ma problemu z połączeniem. Posiadam
>>> kernel 2.6.8-4 i iptables 1.2.11
>> Rozumiem że na końcu łańcucha INPUT masz -j DROP?
> Zgadza się - politykę łancucha INPUT mam ustawioną na DROP
OK...
>> Przecież musisz jakoś przesyłać do serwera dane
> racja dlatego wszystko co idzie na port 22 z ssh jest wpuszczane i pakiety
> które przychodzą powinny zostać oznaczone przez state jako NEW by mogły zostać
> wypuszczone przez łańcuch OUTPUT gdyż jeśli usunę z łańcucha OUTPUT parametr
> -m state --state ESTABLISHED, RELATED, i z łancuch INPUT -m state --state NEW
> połączenie nie da się rady ustanowić. Więc jeśli dobrze rozumię parametr NEW
> mówi tylko modułowi state że ma wypuszczać na zewnątrz pakiety tylko związane
> z tymi które zostały zaznaczone jako NEW?
Jeśli usuniesz z łańcucha OUTPUT regułę "-m state --state ESTABLISHED,RELATED
-j ACCEPT", to pakiety które SSH by miało wysyłać - choćby w odpowiedzi na
pakiet przychodzący - nie będą podpadały pod żadną regułę i pójdą do kosza.
Reguła "--dport 22 -m state --state NEW -j ACCEPT" w łańcuchu sprawia, że
tylko pakiety rozpoczynające połączenie są przepuszczane - kolejne idą
w piach...
>> - albo dodaj -m state
>> --state ESTABLISHED,RELATED -j ACCEPT do łańcucha INPUT, albo usuń -m state
>> --state NEW i zostaw samo --dport 22 -j ACCEPT.
> Dodanie reguły na INPUT :
> iptables -A INPUT -p tcp -i etho -m state --state ESTABLISHED,RELATED -j
> ACCEPT
> nic nie pomaga.
Czy przypadkiem pomimo policy DROP nie masz na końcu jakiegoś -j DROP
albo -j REJECT? Ja tak mam, bo zamiast DROP wolę reject-with
icmp-port-unreachable... Spróbuj z -I INPUT zamiast -A INPUT.
Pozdrawiam,
--
Jacek Osiecki joshua w ceti.pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
Więcej informacji o liście dyskusyjnej pld-users-pl