Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - IPtables - при изменении политики входящего подключения не работают исходящие

Ответить
Настройки темы
Debian/Ubuntu - IPtables - при изменении политики входящего подключения не работают исходящие

Ветеран


Сообщения: 2101
Благодарности: 144


Конфигурация

Профиль | Отправить PM | Цитировать


Доброе время суток. Ubuntu 20.04 Server. Меняю политику входящих подключений с ACCEPT на DROP. Политика исходящих подключений - ACCEPT. После изменения не работают исходящие подключения. Связи с чем это связано ?
Я ориентируюсь на логику Windows-систем. Там, если входящие подключения по умолчанию запрещены, а исходящие разрешены - то соответственно, комп может делать любое исходящее соединение и получать ответ на него. В Linux видимо не так ?

-------
"Нет" - войне.


Отправлено: 09:28, 28-07-2022

 

Ветеран


Сообщения: 2101
Благодарности: 144

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
Сейчас ситуация, что точно пускает ping, хотя явного разрешающего правила нет. Почему так ? »
А сейчас не пускает... Видимо активная сессия была на момент применения команд, и ее не рубануло сразу ?

-------
"Нет" - войне.


Отправлено: 12:48, 04-08-2022 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для NickM

Ветеран


Contributor


Сообщения: 4512
Благодарности: 1066

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
Видимо активная сессия была на момент применения команд, и ее не рубануло сразу? »
После изменения правил файрволла, полезным бывает перезапускать сетевые интерфейсы.
Но Вам, сначала, надо увидеть разницу в приведённых и введённых правилах.

Отправлено: 13:09, 04-08-2022 | #12


Ветеран


Сообщения: 2101
Благодарности: 144

Профиль | Отправить PM | Цитировать


Здравствуйте. Вернулся к по-прежнему актуальной для меня теме.

Цитата NickM:
Цитата __sa__nya:
iptables -P INPUT ACCEPT »
Код:
iptables -A INPUT -P ACCEPT »
- Не работает такая команда:


как вставить картинку на сайт

-------
"Нет" - войне.


Отправлено: 13:38, 27-08-2022 | #13


Ветеран


Сообщения: 2101
Благодарности: 144

Профиль | Отправить PM | Цитировать


NickM, можете мне объяснить суть команды "iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT " ? Я по описанию понял что она нужна для соединений ESTABLISHED, RELATED, но, как написано в справке, например здесь:

Цитата:
ESTABLISHED — соединение установлено, пришел уже не первый пакет в рамках этого сеанса. При правильной настройке iptables — такие пакеты проходят по системе без фильтрации, поскольку она уже была выполнена для первого пакета соединения;
Т.е., я понял это так, что если правила правильно настроены, то без этой команды никуда. Я не смог настроить с помощью тех команд которые вы прислали, т.к. после них по-прежнему нет исходящих соединений. Вернулся обратно к тому, что поставил политику для INPUT в DROP. Далее, как я понимаю, чтобы правильно все заработало, мне нужно для каждого, нужного исходящего соединения на серверер, прописать правило для входящего соединения ( когда сервер получает ответ, чтобы этот ответ не отбрасывался). Вопрос: как это сделать ? Например, как сделать соединения для возможности исходящих соединений для DNS, ping, http, https ?

-------
"Нет" - войне.


Отправлено: 14:48, 31-08-2022 | #14


Аватара для NickM

Ветеран


Contributor


Сообщения: 4512
Благодарности: 1066

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
можете мне объяснить суть команды »
Объяснять Своими словами наверное не стоит, а прочитать, о том, что писал чуть выше можно, например, здесь.

Отмечу, что у Себя использую отличную от указанной в сабже системы и в Моём случае все правила iptables статичные и лежат/ настраиваются через файлы, а не ввод команд.

Отправлено: 21:04, 01-09-2022 | #15


Ветеран


Сообщения: 2101
Благодарности: 144

Профиль | Отправить PM | Цитировать


Цитата NickM:
Объяснять Своими словами наверное не стоит, а прочитать, о том, что писал чуть выше можно, например, здесь. »
- Ясно. Пойду учиться :-)
Про настройку через файлы. Я сейчас просто имею нулевой опыт в Linux'е. И, как говорится - какую справку нашел, по такой и пробую :-). Но буду иметь ввиду что через файлы можно.

-------
"Нет" - войне.


Отправлено: 09:41, 05-09-2022 | #16


Ветеран


Сообщения: 2101
Благодарности: 144

Профиль | Отправить PM | Цитировать


Решил вопрос следующим образом.
1. Меняю политику по умолчанию в цепочке INPUT с ACCEPT на DROP: iptables --policy INPUT DROP
2. Делаю правило разрешения соединений с состояниями established, related: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
3. Для каждого неработающего исходящего подключения, делаю разрешающее правило входящего подключения. Например, для успешного получения компом ДНС-запросов делаю:

Iptables -A INPUT -p tcp --dport 53 -j ACCEPT
Iptables -A INPUT -p udp --dport 53 -j ACCEPT
И т.д. по другим соединениям. Исходящие http и https например работают сразу.
4. Сохраняю правила.
Apt install iptables-persistent
Service netfilter-persistent save

После этой настройки все на сервере работает как мне надо.

-------
"Нет" - войне.


Отправлено: 12:34, 08-09-2022 | #17



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - IPtables - при изменении политики входящего подключения не работают исходящие

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [решено] При изменении пути папки local не работают метро приложения max0295 Microsoft Windows 8 и 8.1 3 17-12-2013 10:29
2008 - Не работают групповые политики DerteX Windows Server 2008/2008 R2 2 10-09-2012 18:10
Ошибка при изменении групповой политики в Windows 2000 ForGroin Microsoft Windows NT/2000/2003 3 27-08-2007 16:13
Настройка входящего подключения + ICS + DHCP + NAT EVK Microsoft Windows 2000/XP 4 30-05-2006 21:33
Создание входящего подключения Storm_exe Microsoft Windows 2000/XP 3 09-01-2006 21:27




 
Переход