Forum Debian Users Gang

Novi-cjusz · 2016-06-09 18:32:16

Witam
Chcialbym zminimalizowac do minimum (DNS?) caly "niepozadany" ruch wychodzacy w lancuchu OUTPUT, kiedy ruch IN w tym lancuchu powinien zostac swobodny. Innymi slowy chcialbym zamknac drzwi wyjsciowe dla wszystkich "mrowek"
Stworzylem taki skrypt, ktory niestety odcina mnie od Sieci.

Kod:

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

Jak to poprawic?

uzytkownikubunt · 2016-06-09 19:01:36

3046

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:41:33)

ethanak · 2016-06-09 19:06:24

Przestań to robić na pałę metodą prób i błędów tylko wreszcie poczytaj sobie jak działa TCP/IP i do czego służą te magiczne literki po Iptables.
Na razie skutecznie zabroniłeś swojemu hostowi nawiązywania połączeń TCP/IP - więc czego się dziwisz że ci sieć nie działa?
Jak to poprawić?
Pisałem w pierwszym zdaniu.

Jacekalex · 2016-06-09 21:05:10

[b]@Novi-cjusz[/b]

Znowu zaorałeś system i wszystko pogubiłeś?

Przecież cgroup (cgstart i konfig /etc/cgrules.conf) miałeś zrobione, filtrowanie w firewallu modułem dopasowania cgroup na podstawie grupy net_cls też.
Znowu od nowa chcesz to rzeźbić?

Ostatnio edytowany przez Jacekalex (2016-06-09 21:05:31)

Novi-cjusz · 2016-06-09 21:53:30

Nic nic nie zaoralem, wszystko co dot cgroups mam zachowane i dziala pieknie.Ponadto mam najnowsze materialy odnosnie cgroupsv2 z NetDev 1.1 conference, Seville, February 2016: Link: http://www.netdevconf.org/1.1/proceedings/slides/rosen-namespaces-cgroups-lxc.pdf
Wy bedziecie mieli wiecej pozytku. Wracajac do tematu, o polaczeniach TCP/IP naczytalem sie tez wiele, ale to teoria a najlepiej weryfikuje wlasnie budowanie regolek iptables. Gdzies przeczytalem, ze mozna teoretycznie stworzyc do 38 mln regolek, natomiast w korpo niektorzy stosuja nawet do 27 tys, bo na tyle pozwala hardware i nastepuje wyrazne zwolnienie dzialania. Wiem, ze polityce domyslnej jest 3 x DROP ale od tego zrobilem wyjatki, ktore powinny przepuscic ruch w lancuchu OUTPUT zakwalifikowany jako " powiazany ustanowiony"
Probuje jedynie czegos innego. Zapominamy o cgroups. Jest tylko desktop z Jessie v3 (a mamy juz 5) zadaniem iptables na wyjsciu jest zminimalizowanie ruchu wyjsciowego do krytycznego minimum ( tylko zapytania DNS? pakiety ICMP?) Chce zamknac drzwi wyjsciowe do internetu dla:komunikatow rogue software, backdorow, i temu podobnej swoloczy. Natomiast ruch wejsciowy w lancuchu OUTPUT moze pozostac swobodny. Mam nadzieje, ze prosto to przedstawilem.
Wczesniejsza wersja poszukiwanego przeze mnie rozwiazania wygladala tak:

Kod:

iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT

A jak zrobic nowsza wersje rozwiazania z modulem conntrack?

Ostatnio edytowany przez Novi-cjusz (2016-06-09 21:58:35)

morfik · 2016-06-09 22:01:08

Może lepiej napisz, jak według ciebie odbywa się połączenie sieciowe w oparciu o te regułki z pierwszego posta. Co się dzieje, gdy jakaś aplikacja jest przesłać pakiet przez sieć. xD

Novi-cjusz · 2016-06-09 22:19:38

Rozumowalem w ten sposob (kolokwialnie) host jest odciety od Sieci przez 3 x DROP w ktorym to ogniomorku sa 2 przejscia:
- pierwsze dla polaczen nawiazanych na wejsciu
- drugie dla polaczen nawiazanych na wyjsciu. Zadne nowe pakiety z flaga SYN nie maja prawa opuscic mojego desktopa.
- Dolozylem do tego regolki umozliwiajace dzialanie Domain Name System na porcie zrodlowym i docelowym 53.
Albo inaczej, tylko polaczenia zainicjowane przeze mnie maja prawo opuscic kompa, tylko pojawia sie pytanie jak odroznic w regolkach iptables polaczenia legalne od nazwijmy je " samozwanczych "?

Ostatnio edytowany przez Novi-cjusz (2016-06-09 22:24:06)

morfik · 2016-06-09 22:22:06

No to jak chcesz nawiązać połączenia, skoro żadne nowe pakiety nie mają opuścić i wejść do kompa? xD

Novi-cjusz · 2016-06-09 22:25:41

Przeciez napisalem ze w ogniomorku sa dziury (wyjatki)
Najpierw zamykam wszystko a nastepnie wybijam drzwi dla wybranych.

morfik · 2016-06-09 22:27:51

No to pisałem przecie. Co się dzieje na twojej zaporze według ciebie, gdy dajmy na to odpalasz firefoxa i wchodzisz na strone dupa.com ? xD

Novi-cjusz · 2016-06-09 22:34:00

Inicjuje polaczenie wysylajac pakiety ze statusem NEW i flaga SYN ktore po przetlumaczeniu zapytania HTTPS przez DNS szukaja poprzez system ruterow serwera ktory odpowie flaga ACK, i tym samym zestawi polaczenie ktore jako SYN ACK wroci do mojego kompa.
Moglem sie pomylic bo pisalem na szybko.

morfik · 2016-06-09 22:37:22

No właśnie nie. Przeglądarka pierw odpytuje resolver, który wysyła zapytanie DNS do serwera DNS. Tu masz pierwsze połączenie w stanie NEW. Potem pakiet z odpowiedzią na zapytanie DNS wraca do ciebie i uderza w ESTABLISHED,RELATED w INPUT. Potem przeglądarka ma już adres serwera www i tworzy nowe połączenie znów w stanie NEW i kieruje pakiet na port 80 dajmy na to na ten serwer. Gdzie masz regułkę w OUTPUT co by zezwoliła na to? xD

Novi-cjusz · 2016-06-09 22:46:03

O carramba, racja, ale jak odfiltrowac "samozwancze" proby nawiazania polaczenia od "legalnych"?
Chcialem uniknac wyszczegolniania, protokolow, portow i rozwiazac to za pomoca ogolnego algorytmu " RELATED, ESTABLISHED"

Ostatnio edytowany przez Novi-cjusz (2016-06-09 22:49:26)

morfik · 2016-06-09 22:50:05

Nie rozumiem pytania. xD

Przecie nawet za pomocą tej reguły od DNS co masz, to można by cię hacknąć. Wystarczy, że złapiesz syf, który będzie słał ruch na port 53, na który będzie jakiś demon gdzieś w necie nasłuchiwał i też masz pozamiatane. xD

Ostatnio edytowany przez morfik (2016-06-09 22:51:37)

Novi-cjusz · 2016-06-09 22:55:16

Ruch legalny dla mnie to np:
- zapytania DNS
- ruch ICMP
- zainicjowane przezemnie nowe polaczenia
Ruch "samozwanczy" to komunikaty:
- backdorow
- rogue software
- itp/itd
Jak to odsiac od siebie?
Jeszcze jedno pytanie, to dlaczego te 2 regoly (ktora znalazlem w Internecie)

Kod:

iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT

mialy blokowac na wyjsciu caly ruch z wyjatkiem ustanowionego? I dlaczego to nie dziala?

Ostatnio edytowany przez Novi-cjusz (2016-06-09 23:01:57)

morfik · 2016-06-09 22:59:32

Dla iptables to ten sam ruch. On operuje na szeregu dopasowań i nie ma w nich takiego czegoś, że połączenia NEW od trojana są be, a od ciebie są ok. xD ICMP, o który mówisz niesie pełno zagrożeń. A DNS? Hmm... A jak ci ktoś podmieni adres resolvera, to co wtedy? Zapytanie pójdzie do jakiegoś syfiastego serwera i zwróci ci jakąś zafishowaną stronę i nawet nie będziesz o tym wiedział.

Zobacz post 12 jeszcze raz. xD

Ostatnio edytowany przez morfik (2016-06-09 23:03:11)

Novi-cjusz · 2016-06-09 23:04:29

Wiem ruchu ICMP jest kilkanascie rodzajow i odpowiednie do nich regoly, gdzies mam cala liste, na DNS to moze DNSCrypt, moze regola blokujaca DNS spoofing?
Mysle, ze duzo by pomogl jakis skaner uslug, skaner bootow sieciowych, czy komenda w konsoli ktora listowalaby polaczenia na wyjsciu wg wybranego kryterium.

Ostatnio edytowany przez Novi-cjusz (2016-06-09 23:11:03)

morfik · 2016-06-09 23:17:28

Połączenie albo jest albo go nie ma. xD W netstat masz wszystko

Novi-cjusz · 2016-06-10 08:17:35

Wlasnie, moja ulubiona komenda:

Kod:

netstat --inet --inet6 -a -n

Lub troche wiecej:
http://www.binarytides.com/linux-netstat-command-examples/
http://www.tecmint.com/20-netstat-commands-for-linux-network-management/

Przy okazji - jak zzucic wynik dowolnej komendy netstat w konsoli do pliku?

Ostatnio edytowany przez Novi-cjusz (2016-06-10 08:27:14)

arecki · 2016-06-10 13:16:08

[quote=Novi-cjusz]...
Przy okazji - jak zzucic wynik dowolnej komendy netstat w konsoli do pliku?[/quote]
Czyżby chodziło o to?

Kod:

dowolna_komenda_netstat > plik

Ostatnio edytowany przez arecki (2016-06-10 13:19:33)

Novi-cjusz · 2016-06-10 15:06:57

[quote=arecki][quote=Novi-cjusz]...
Przy okazji - jak zzucic wynik dowolnej komendy netstat w konsoli do pliku?[/quote]
Czyżby chodziło o to?

Kod:

dowolna_komenda_netstat > plik

[/quote]
Dokladnie, dziala swietnie - bardzo dziekuje.

morfik · 2016-06-10 17:57:16

Co do netstat, to korzystaj z przełączników -tupan (łatwo zapamiętać). xD

Novi-cjusz · 2016-06-11 13:31:24

[quote=morfik]Co do netstat, to korzystaj z przełączników -tupan (łatwo zapamiętać). xD[/quote]
Pozwole sobie dodac:
- sprawdzanie otwartych portow - netstat -tulpn
- netstat -lntu
- sprawdzanie czy port 80 jest otwarty - netstat -tulpn | grep :80
- sprawdzanie czy iptables umozliwia dostep dp ww portu - iptables -L INPUT -v -n | grep 80

Gdybym chcial udostepnic dostep do Netu wylacznie dla przegladarki, to otwarcie portu 80 powinno zalatwic sprawe/

Kod:

 iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

"Wypuszczanie" innych uslug i aplikacji do Internetu oznacza koniecznosc selektywnego otwierania wlasciwych dla nich portow.
Szkoda, ze jest tak wiele grafik dot "3-way handshaking" a nie ma nic pokazujacego relacje miedzy regola skryptu iptables a trawersem pakietow polaczenia internetowego, co fantastycznie zrozumiale (jak dla mnie) ujol "morfik" w slowach:

Kod:

 Przeglądarka pierw odpytuje resolver, który wysyła zapytanie DNS do serwera DNS. Tu masz pierwsze połączenie w stanie NEW. Potem pakiet z odpowiedzią na zapytanie DNS wraca do ciebie i uderza w ESTABLISHED,RELATED w INPUT. Potem przeglądarka ma już adres serwera www i tworzy nowe połączenie znów w stanie NEW i kieruje pakiet na port 80 dajmy na to na ten serwer

Moze ktos ma lub wie skad sciagnosc grafiki demonstrujace rozne trawersy pakietow nalozone na rozne konfigi skryptu iptables?
Ludzie sa wzrokowcami i 80% informacji przyjmuja wzrokiem jako obrazy.

Ostatnio edytowany przez Novi-cjusz (2016-06-11 15:04:13)

uzytkownikubunt · 2016-06-11 13:56:10

3052

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:41:40)

Novi-cjusz · 2016-06-11 14:15:51

Skoro o filtrowaniu portow rozmowa jest strata czasu to moze, limitowac dostep do Sieci uzywajac dopasowania "match"?
Ladujemy modul: modprobe ipt_owner
Korzystamy z rozszerzen:
- uid-owner UID (pakiety nalezace do procesow generowanych przez uzytkownika ...)
- gid-owner GID (pakiety nalezace do procesow w grupie GID)
- pid-owner PID ( pakiety nalezace do procesu PID)
- sid-owner SID (pakiety nalezace do sesji SID)
Przyklad:

Kod:

    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A OUTPUT -o eth0 -m owner --uid-owner Novi-cjusz -j ACCEPT
    iptables -A OUTPUT -j DROP

https://dug.net.pl/tekst/82/uzytkownicy_w_systemie_linux/
Moze zrobic liste czego nie warto robic, bo jest strata czasu - a na czym sie skoncentrowac?

Przydatne: https://neverendingsecurity.wordpress.com/2015/02/12/basic-iptables-howto-and-guide-for-linux/

Ostatnio edytowany przez Novi-cjusz (2016-06-11 14:40:13)

Time (s)	Query
0.00010	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00097	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.119.170' WHERE u.id=1
0.00086	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.119.170', 1727576555)
0.00043	SELECT * FROM punbb_online WHERE logged<1727576255
0.00033	SELECT topic_id FROM punbb_posts WHERE id=302205
0.00006	SELECT id FROM punbb_posts WHERE topic_id=28689 ORDER BY posted
0.00067	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28689 AND t.moved_to IS NULL
0.00007	SELECT search_for, replace_with FROM punbb_censoring
0.00158	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28689 ORDER BY p.id LIMIT 0,25
0.00099	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28689
Total query time: 0.0061 s

Forum Debian Users Gang

Ogłoszenie

#1 2016-06-09 18:32:16

Novi-cjusz - Użytkownik

iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#2 2016-06-09 19:01:36

uzytkownikubunt - Zbanowany

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#3 2016-06-09 19:06:24

ethanak - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#4 2016-06-09 21:05:10

Jacekalex - Podobno człowiek...;)

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#5 2016-06-09 21:53:30

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#6 2016-06-09 22:01:08

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#7 2016-06-09 22:19:38

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#8 2016-06-09 22:22:06

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#9 2016-06-09 22:25:41

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#10 2016-06-09 22:27:51

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#11 2016-06-09 22:34:00

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#12 2016-06-09 22:37:22

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#13 2016-06-09 22:46:03

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#14 2016-06-09 22:50:05

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#15 2016-06-09 22:55:16

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#16 2016-06-09 22:59:32

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#17 2016-06-09 23:04:29

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#18 2016-06-09 23:17:28

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#19 2016-06-10 08:17:35

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#20 2016-06-10 13:16:08

arecki - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#21 2016-06-10 15:06:57

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

#22 2016-06-10 17:57:16

morfik - Cenzor wirtualnego świata

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

#23 2016-06-11 13:31:24

Novi-cjusz - Użytkownik

Re: iptables - w lancuchu OUTPUT minimalny ruch IN i swobodny OUT

Kod:

Kod:

#24 2016-06-11 13:56:10