Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-10-28 08:40:54
TuX - 
Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Iptables restart?
Witam Was :)
Wpisuje sobie formułkę do blokowania danego ipka ;)
Następnie iptables-save i nic. Za bardzo komputera nie mam jak zresetować bo jest na nim pełno odpalonych usług - a poza tym nie ma sensu robić reboota po każdym dodaniu formułki.
Jaki jest sposób na to by iptables zaczął działać bez restartu pc?
Dodam że nie mam /etc/init.d/iptables - bo bym sobie poradził.
Może jest coś nie tak z formułką?
Kod:
iptables -A INPUT -s mojip -j DROP
Tak więc chcę by "mojip" miał bana [b]na wszystko[/b] i [b]na wszystkich[/b] "interfejsach" :P
Czyli żeby nie miał żadnego dostępu do serwera ( to tylko przykład bo chcę sprawdzić czy to działa :) mam shella by połączyć się z innego ipk'a )
Może polecacie jakiś inny firewall, prosty w konfiguracji? Tylko nie apf wczoraj zainstalowałem wyłączyłem a on mi się włączył w nocy i poblokował ruch na całą noc :lol: dobrze że wstałem o 8smej i go usunąłem.
Nie potrzebuje tak rozbudowanego firewalla, wystarczy mi opcja blokowanie pojedynczych ipków i ich zakresów. Najważniejsze jest to żeby to [b]działało :P[/b]
Pozdrawiam i czekam na odpowiedzi ;)
Offline
#2 2007-10-28 10:49:01
GuruPL - Członek DUG
#3 2007-10-28 11:43:17
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
85.28.162.10 < Mój ipk
$:~/sudo iptables -A INPUT -s 85.28.162.10 -j DROP
$:~/
[/quote]
Brak wyniku - wygląda ok ;)
$:~/sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP 0 — w3cache.zetosa.krakow.pl anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/quote]
Lecz wszystko działa - mogę wejść na http, ftp, ssh i inne usługi.
Więc co jest nie tak?
P.S Fajny avek :DOffline
#4 2007-10-28 12:01:27
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: Iptables restart?
85.28.162.10 < Mój ipk
$:~/sudo iptables -A INPUT -s 85.28.162.10 -j DROP
$:~/
[/quote]
Brak wyniku - wygląda ok ;)
[/quote]
Polecenie zawsze coś zwraca, tzw status wyjścia.Kod:
echo $?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]Offline
#5 2007-10-28 12:21:58
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
Wiem, chodziło mi o to że "nic nie widać". Sprawdziłem i nie ma błędu.
/Edycja teraz zobaczyłem że jak dodam tą formule to z mojego ip nie działa www ale wszystkie inne usługi działają.
Ma ktoś jakiś pomysł?:P
Offline
#6 2007-10-28 19:05:22
ba10 - Członek DUG
Re: Iptables restart?
Wyczyść wszystko bo pewnie się śmietnik zrobił
Kod:
iptables -F
i zblokuj swój komputer :
Kod:
iptables -I FORWARD -p all -s 85.28.162.10 -d 0/0 -j DROP
-I : dodaje reguł na początku
FORWARD : łańcuch przetwarzający dane które są "pchane" dalej
-p : protokół , tutaj 'all' czyli wszystkie
-s : adres źródłowy
-d 0/0 : adres docelowy w tym wypadku wszystkie adresy ip
-j DROP : cel reguły czyli odrzucamy
Powinno zadziałać , ale nie sprawdzałem ... ;)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#7 2007-10-28 19:26:44
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
Wynik: sudo iptables -L - Przed
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/quote]
Wynik sudo iptables -L - Po
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP 0 — w3cache.zetosa.krakow.pl anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/quote]
Jeżeli to ma działać odrazu to coś nie jest w porządku bo nie działa ;)Offline
#8 2007-10-28 19:47:47
ba10 - Członek DUG
Re: Iptables restart?
Chwilka a czy to wpisujesz na serwerze który udostępnia tobie net czy na swojej maszynie ? Bo chyba raczej u siebie.
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#9 2007-10-28 19:54:17
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
To wpisuje na serwerze dedykowanym w niemczech na którym chcę być zbanowany.
Offline
#10 2007-10-28 19:59:23
lordvader20 - Członek DUG
- lordvader20
- Członek DUG
- Skąd: /home/kuba
- Zarejestrowany: 2007-04-09
- Serwis
Re: Iptables restart?
Kod:
iptables -A INPUT -p all -s TWOJE_IP -j DROP
Tak powinno być ok.
Powered by Debian and Gentoo
[img]http://img.userbars.pl/79/15642.jpg[/img]
[img]http://img.userbars.pl/99/19689.png[/img]
Offline
#11 2007-10-28 20:08:18
ba10 - Członek DUG
Re: Iptables restart?
A to przepraszam , źle zrozumiałem problem.
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#12 2007-10-28 21:02:26
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Iptables restart?
...
Dodam że nie mam /etc/init.d/iptables - bo bym sobie poradził...[/quote]
Nikt na początku nie ma. Napisz go sobie i uczyń plik wykonywalnym
Zarejestrowany użytkownik Linuksa #361563
Offline
#13 2007-10-30 14:46:01
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
Witam, mam już skrypt do resetowania iptables. Niestety nic on nie daje :]
Komenda podana wyżej nie działa, co dziwne mimo że iptables -L jest puste to z mojego ip nie działa http.
Hmm!?
Pod odinstalowaniu iptables to samo.. trochę to dziwne :)
Jutro z rana zresetuje httpd i zobaczymy :)
---
Witam, jak można usunąć formułki zapisane poleceniem iptables-save ? ( bez parametrów ) ?
Pozdrawiam!
// Edit - można przywrócić to restorem ( zapisać tą konfiguracje )
iptables-save /root/stara
Otworzyć /root/stara usunąć niepasujące formułki - zapisać i wczytać
iptables-restore /root/stara
Wszystko działa ;)
Offline
#14 2007-11-03 21:34:17
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
Odświeżam - wszystkie podane sposoby w tym temacie uniemożliwiają dostęp z poziomu httpd ( portu 80 ) jednak wciąż mam dostęp do tych innych usług (ftp,ssh, serwery gier)
Offline
#15 2007-11-03 22:25:24
bercik - Moderator Mamut
Re: Iptables restart?
pokaz moze jak sluchaja te inne uslugi - wynik
Kod:
netstat --inet --inet6 -a -n
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#16 2007-11-03 23:09:54
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
Kod:
@$ netstat --inet --inet6 -a -n Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN tcp 0 0 ipmojegoserwera:80 0.0.0.0:* LISTEN tcp 0 0 ipmojegoserwera:21 0.0.0.0:* LISTEN tcp 0 0 ipmojegoserwera:22 196.211.215.210:43530 SYN_RECV tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 ::ffff:85.214.71.31:22 ::ffff:85.28.162.4:3320 ESTABLISHED [0.0.0:* udp 0 0 0.0.0.0:3535 0.0.0.0:* udp 1740 0 0.0.0.0:1234 0.0.0.0:* udp 0 0 0.0.0.0:1111 0.0.0.0:* udp 0 0 0.0.0.0:7771 0.0.0.0:* udp 1740 0 0.0.0.0:4444 0.0.0.0:* udp 0 0 0.0.0.0:2525 0.0.0.0:* udp 0 0 0.0.0.0:7777 0.0.0.0:* udp 1740 0 0.0.0.0:4965 0.0.0.0:* udp 0 0 0.0.0.0:9967 0.0.0.0:* udp 0 0 0.0.0.0:7667 0.0.0.0:* udp 1740 0 0.0.0.0:8312 0.0.0.0:* udp 0 0 2gieipmojegoserwera:123 0.0.0.0:* udp 0 0 ipmojegoserwera:123 0.0.0.0:* udp 0 0 127.0.0.1:123 0.0.0.0:* udp 0 0 0.0.0.0:123 0.0.0.0:* udp6 0 0 fe80::20e:a6ff:fe7d:123 :::* udp6 0 0 ::1:123 :::* udp6 0 0 :::123 :::*
Offline
#17 2007-11-04 10:50:20
bobycob - Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: Iptables restart?
$:~/sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP 0 — [b][color=red]w3cache.zetosa.krakow.pl[/color][/b] anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/quote]
Przecież wyraźnie masz w adresie zwróconym przez revDNS, że adres IP który wpisałeś to server proxy. Dlatego blokowany jest dostęp tylko do www. Oczywiście z twojego punktu widzenia - bo sewer zapytania do innych usług po prostu widzi z innego adresu. Wpisz swój adres publiczny to zadziała, jeżeli będziesz miał problem z ustaleniem adresu zadzwoń do administratora. Ta reguła musi być w input bo widzę, że dalej próbowałeś w FORWARD
Offline
#18 2007-11-04 13:03:30
TuX - Użytkownik
- TuX
- Użytkownik
- Zarejestrowany: 2007-01-18
Re: Iptables restart?
85.28.162.10 tak jest widziany mój ip z zewnętrznej sieci. Łącze się bezpośrednio z serwerem lan, mam radiówkę i wewnętrzne ip przypisane do mojego pcta.
Zaraz sprawdzę jeszcze innaczej.
/Edycja - w grze łącze się przez podobne ip ale z inną końcówką - zbanowałem to i działa.
Problem został rozwiązany - dzięki, można zamknąć temat :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00010 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00118 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.108.48' WHERE u.id=1 |
| 0.00078 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.139.108.48', 1733340650) |
| 0.00042 | SELECT * FROM punbb_online WHERE logged<1733340350 |
| 0.00069 | DELETE FROM punbb_online WHERE ident='18.188.175.66' |
| 0.00068 | DELETE FROM punbb_online WHERE ident='54.36.149.90' |
| 0.00052 | SELECT topic_id FROM punbb_posts WHERE id=73907 |
| 0.00005 | SELECT id FROM punbb_posts WHERE topic_id=9535 ORDER BY posted |
| 0.00056 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9535 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00094 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9535 ORDER BY p.id LIMIT 0,25 |
| 0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9535 |
| Total query time: 0.00681 s | |