înregistrare Logare
Puncte:1
keroles gamal avatar Ubuntu

Desktop Ubuntu-20.04.3 problema iptables

drapel in
keroles gamal

Vreau să testez câteva reguli iptables regula este de a refuza tot traficul de ieșire, cu excepția DNS.
așa că am schimbat regula implicită OUTPUT a tabelului de filtrare la DROP folosind această comandă.

sudo iptables -t filter -P OUTPUT DROP

apoi am atasat aceasta regula la ACCEPT trafic DNS.

sudo iptables -t filter -A OUTPUT -p udp --dport 53 -o ens33 -j ACCEPT

și rulez această comandă pentru a testa politica.

nslookup google.com

și înainte de a rula această comandă, rulez wireshark pe vm-ul meu și pe gazda.
apoi comanda nslookup a luat ceva timp și mi-a dat acest mesaj.

conexiunea a expirat; niciun server nu a putut fi atins

iar wireshark (pe vm și pe gazdă) nu a captcher niciun pachet.

asa ca am sters aceasta regula si am adaugat alta.

sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

și a făcut același lucru ca înainte.
Același mesaj apare din nou, dar wireshark (pe vm și pe gazdă) captează pachetele (cererea și răspunsul).

apoi am șters această regulă și am adăugat următoarea regulă.

sudo iptables -t filter -A OUTPUT -p udp -j ACCEPT

și a făcut același lucru ca înainte.
de data aceasta comanda nslookup returnează rezultatul și wireshark captcher pachetele.

Deci de ce se întâmplă asta?

înainte de aceste teste am instalat snort (pe un alt vm) și am încercat să arunc niște pachete dar nu a reușit.
pachetele sunt înregistrate, dar nu aruncate.
Nu știu dacă aceste cazuri sunt legate sau nu.

75
0 + 0
Puncte:0
Doug Smythies avatar Ubuntu
drapel gn
Doug Smythies

Întrebarea ta este într-adevăr una bună. Nu există mesaje de eroare și totul pare corect cu diverse instrumente de interogare iptables.

Cu toate acestea, trebuie să permiteți traficul către/de la interfața locală de loopback, iată. Deci ai nevoie de o altă regulă. Apropo, nu aveți nevoie de -t filtru parte. Deci, și modificat pentru interfața de rețea a computerului meu de testare, și folosesc tcpdump în loc de wireshark și am două apariții care rulează, una pe lo și una pe NIC-ul meu:

sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -o br0 -j ACCEPT
sudo iptables -P OUTPUT DROP
nslookup google.com
Server: 127.0.0.53 <<<<<<< NOTĂ:
Adresa: 127.0.0.53#53

Răspuns neautorizat:
Nume: google.com
Adresa: 142.251.33.78
Nume: google.com
Adresă: 2607:f8b0:400a:806::200e

și:

doug@s19:~/iptables/tmp$ cat c06.txt
2021-11-21 09:41:07.851723 IP 192.168.111.136.37847 > 192.168.111.1.53: 52661+ [1au] A? google.com. (39)
2021-11-21 09:41:07.879409 IP 192.168.111.1.53 > 192.168.111.136.37847: 52661 1/0/1 A 142.251.33.78 (555.251.33.78)
2021-11-21 09:41:07.884300 IP 192.168.111.136.52279 > 192.168.111.1.53: 58740+ [1au] AAAA? google.com. (39)
2021-11-21 09:41:07.899157 IP 192.168.111.1.53 > 192.168.111.136.52279: 58740 1/0/1 AAAA 2607:f8b0:08:40:f8b08:40

și:

doug@s19:~/iptables/tmp$ cat l01.txt
2021-11-21 09:41:07.850815 IP 127.0.0.1.51470 > 127.0.0.1.51470: UDP, lungime 1
2021-11-21 09:41:07.851625 IP 127.0.0.1.46738 > 127.0.0.53.53: 31736+ A? google.com. (28)
2021-11-21 09:41:07.879486 IP 127.0.0.53.53 > 127.0.0.1.46738: 31736 1/0/0 A 142.251.33.78 (44)
2021-11-21 09:41:07.884223 IP 127.0.0.1.35841 > 127.0.0.53.53: 58878+ AAAA? google.com. (28)
2021-11-21 09:41:07.899259 IP 127.0.0.53.53 > 127.0.0.1.35841: 58878 1/0/0 AAAA 2607:f8b0:400a:806:5:200e (5:6)

Deci de ce serverul pare a fi local? În mod implicit, Ubuntu rulează un solutor local pentru stocarea în tampon a înregistrărilor dns și așa:

doug@s19:~$ sudo ss -tulpn | grep ":53"
Netid State Recv-Q Send-Q Adresă locală: Port Peer Address: Port Process
udp UNCONN 0 0 127.0.0.53%lo:53 0.0.0.0:* utilizatori:((„systemd-resolve”,pid=834,fd=12))
tcp LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* utilizatori:(("systemd-resolve",pid=834,fd=13))

vezi si rezultate din sudo systemctl status systemd-resolved si pagini de manual aferente.

0 + 0
keroles gamal avatar
drapel in
keroles gamal
Mulțumesc foarte mult Am făcut cum ai spus și a funcționat dar mesajul de răspuns nslookup nu este ceea ce mă așteptam ați putea vă rog să explicați de ce mesajul de răspuns nslookup spune că serverul este loopback-ul meu „127.0.0.53”? Mă așteptam la 8.8.8.8 Am încercat multe domenii și totuși serverul este loopback-ul meu „127.0.0.53” ce se intampla in spatele scenei?
0
Răspunde
Doug Smythies avatar
drapel gn
Doug Smythies
răspuns editat cu un răspuns la comentariul tău.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.