iptables и KMyFirewall

Защита информации, сетевая безопасность, уязвимости

Модератор: Rostov114

iptables и KMyFirewall

Сообщение AVX » 14 дек 2008, 23:01

наткнулся на графическую утилиту для создания стартовых скриптов с конфигурацией iptables. Написана под KDE3, называется KMyFirewall

все вроде понятно, делает все без ошибок, глюков пока не заметил.
Причем тут же можно посмотреть в текстовом виде конфиг (при желании и руками потом править можно), запустить/остановить iptables.
Единственное, хотелось бы справочку к ней, или хотя бы описание портов (названия, номера, и т.п.), справка в ней, к сожалению, не работает.

kmyfirewall.png


вот за час с небольшим можно сказать освоил азы iptables (просто экспериментируя параметрами), да вобщем-то там все параметры и так интуитивно понятны. Вобщем, запретил весь исходящий трафик, разрешил весь входящий, и на исходящий добавил правила:

$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 80 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 21 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --destination-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --source-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 5190 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6667 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6881 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 3295 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 3923,26999 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 8001 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 27015,27016,27017 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 27015,27016,27017 -j ACCEPT

т.е. разрешен исходящий трафик для www, ftp, dns, icq, irc, torrent, dc, cs1.6.

и вот вопросы:
1. почему при этом работает только подключение к фтп в активном режиме, а в пассивном - нет?
2. что тут может лишнего написал или вообще неправильно?
3. какие реально нужны порты исходящего трафика для работы cs1.6 (клиент), ftp (клиент)?
4. ftp-data - какой порт? а то без него авторизация проходит на фтп, а данные (даже листинг каталога) не может принять.
AVX
Активный участник
 
Сообщения: 227
Зарегистрирован: 07 ноя 2008, 23:36
Откуда: Пугачев
Домен: http://pug-cs.ru/

Re: iptables и KMyFirewall

Сообщение Lundil » 14 дек 2008, 23:10

все это заменяется 3-мя строчками

$IPT -t filter -A OUTPUT -p tcp --match multiport --dports 80,21,20,5190,6667,6881,3295,3923,26999,8001,27015,27016,27017 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --source-port 20 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --dports 53,27015,27016,27017 -j ACCEPT
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: iptables и KMyFirewall

Сообщение AVX » 14 дек 2008, 23:46

а что значит --dports ?

$IPT -t filter -A OUTPUT -p tcp --source-port 20 -j ACCEPT
что делает эта строка? нипанятна.... или 20 - это тоже к фтп отношение имеет?
AVX
Активный участник
 
Сообщения: 227
Зарегистрирован: 07 ноя 2008, 23:36
Откуда: Пугачев
Домен: http://pug-cs.ru/

Re: iptables и KMyFirewall

Сообщение Lundil » 15 дек 2008, 01:16

что она делает и зачем - тебе видней - ты писал
а насчет пассивного режима FTP тебе нужно диапазон портов открывать, какой? смотри настройки своего сервера ФТП там есть параметры которые говорят какие порты использовать, если лом - то открой все что больше 1024
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: iptables и KMyFirewall

Сообщение AVX » 15 дек 2008, 18:12

блин.. КС1,6 что-то еще использует, кроме TCP/UDP 27015-27017
подключаюсь к серверу, и как только в самом начале после загрузки карты должна появиться заставка из motd - просто висит и ни на что не реагирует. В процессах появляется services.exe, explorer.exe. Я так понял, что пытается грузить html-содержимое, но порт 80 открыт, по какому оно еще может качать?
Вирусов вроде нету, только что проверил.
Если отключить iptables - все норм.
AVX
Активный участник
 
Сообщения: 227
Зарегистрирован: 07 ноя 2008, 23:36
Откуда: Пугачев
Домен: http://pug-cs.ru/

Re: iptables и KMyFirewall

Сообщение Lundil » 15 дек 2008, 21:56

netstat -anp
религия не позволяет полдьзоваться?

в iptables можно просматривать текущие соединения в системе (команду не помню)

смори, открывай, закрывай, пробуй
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru


Вернуться в Компьютерная безопасность

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

cron