înregistrare Logare
Puncte:0
avatar Server

Nu se pot face conexiuni de ieșire cu iptables setat să permită toate

drapel ba
mike

Nu pot să-mi dau seama de ce DROP ajunge să fie lovit de solicitări de ieșire care provin din VPS-ul meu bazat pe openvz.

Știu că trebuie să fie ceva cu modul în care pachetul nu merge direct la ieșire sau ceva de genul ăsta și se pare că îmi lipsește ceva de bază aici. Am încercat diverse lucruri și singurul mod în care pot să-l fac să funcționeze din nou este să înlătur regulile (iptables -F)

Scopul este de a bloca tot traficul de intrare, cu excepția unui singur IP (1.2.3.4) și a portului 53/113 pentru toată lumea și pentru a permite toate ieșirile.

Iată ieşirea din iptables -L -n -v - Văd că numărul de pachete DROP crește când încerc să curl outbound. (IP-uri ușor modificate pentru confidențialitate)

INTRARE în lanț (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination         
  239 17668 ACCEPT toate -- * * 1.2.3.4 0.0.0.0/0           
  118 11175 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
    3 174 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
   17 1176 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
    0 0 ACCEPT toate -- lo * 0.0.0.0/0 0.0.0.0/0           
 2238 119K DROP toate -- * * 0.0.0.0/0 0.0.0.0/0           

Lanț FORWARD (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination         

Ieșire în lanț (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination         
  889 56648 ACCEPT pe toate -- * * 0.0.0.0/0 0.0.0.0/0

aceasta este de la iptables-salvare (IP-uri ușor modificate pentru confidențialitate)

# Generat de iptables-save v1.8.4 pe Thu Dec 2 02:42:40 2021
*filtru
:INPUT ACCEPT [0:0]
: FORWARD ACCEPT [0:0]
: ACCEPT IEȘIRE [0:0]
-A INTRARE -s 1.2.3.4/32 -j ACCEPT
-A INTRARE -p udp -m udp --sport 53 -j ACCEPT
-A INTRARE -p udp -m udp --dport 53 -j ACCEPT
-A INTRARE -p tcp -m tcp --dport 113 -j ACCEPT
-A INTRARE -i lo -j ACCEPT
-A INTRARE -j CĂDERARE
-A IEȘIRE -j ACCEPT
COMMIT
# Finalizat joi, 2 decembrie 02:42:40 2021

acestea sunt interfețele (IP-uri ușor modificate pentru confidențialitate)

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
        inet 127.0.0.1 netmask 255.255.255.255 broadcast 0.0.0.0 destinație 127.0.0.1
        inet6 2a00:d880:3:1::ad49:a3f2 prefixlen 128 scopeid 0x0<global>
        inet6 2a00:d880:3:1::a639:a610 prefixlen 128 scopeid 0x0<global>

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
        inet 81.1.1.1 mască de rețea 255.255.255.255 difuzare 81.1.1.1 destinație 81.1.1.1
57
0 + 0
Puncte:0
Nikita Kipriyanov avatar Server
drapel za
Nikita Kipriyanov

Ta INTRARE lanțul respinge răspunsurile așteptate valide la pachetele de ieșire. Pentru a le permite:

iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Va detecta dacă pachetul este continuarea unei conexiuni anterioare (de exemplu, răspunsul la un pachet de ieșire) și va permite.

De asemenea, vă sugerez să schimbați INTRARE politica de a CĂDERE BRUSCA. Procesarea nu se va schimba (ai neconstrâns CĂDERE BRUSCA în setul de reguli), dar intenția va fi clară.

iptables -P INPUT DROP
0 + 0
drapel ba
mike
deci problema de ce nu am unele dintre acele -m suplimentare este că primesc „iptables: No chain/target/match by that name”. rulează un nucleu complet, se pare că (deci aș presupune că toate modulele sunt acolo) `Linux foo 5.4.0 #1 SMP Joi 27 iunie 15:10:55 MSK 2019 x86_64 x86_64 x86_64 GNU/Linux` cu toate acestea, sunt într-un openvz invitat.
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Asta e ciudat. Instalarea dvs. este completă? Încercați în schimb `-m state --state ESTABLISHED,RELATED` (cu toate acestea, aceasta este o metodă *învechită* de a face acest lucru și în nucleul 5.x este cu siguranță implementată intern prin modulul conntrack).
0
Răspunde
drapel ba
mike
nu a ajutat. pare a fi axat pe kernel-ul gazdei (nici macar nu aveam unul instalat in guest. Am instalat unul, dar nu pare sa-l booteze, probabil pentru ca openvz...) ma intreb daca e ceva la nivel de gazdă, ca și cum nucleul gazdă îl are activat. Pot controla pachetele la nivelul meu, dar nu par să pot accesa modulele conntrack sau state.
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Trebuie fie să cunoașteți tot traficul posibil a priori și să îl permiteți static, fie să utilizați un firewall cu stare, care îl descoperă dinamic. „Activați conexiunile de intrare selectate și toate conexiunile de ieșire posibile” necesită firewall cu stare, așa că se pare că ceea ce cereți este imposibil. Ultima ta șansă este să ceri furnizorului tău de găzduire să încarce modulele necesare pentru tine. // P.S openvz? La sfârșitul anului 2021? Serios?
0
Răspunde
drapel ba
mike
folosește ramnode... există o mulțime de furnizori de VPS ieftini de tip „low end” care încă îl folosesc.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.