| View previous topic :: View next topic |
| Author |
Message |
canis_lupus
l33t
Joined: 22 Dec 2005
Posts: 773
Location: Kraków
|
 Posted: Mon Dec 15, 2008 8:02 am Post subject: [iptables] Nie moge pingać komputera |
 |
|
Jak w temacie. Mam zainstalowane iptables i poniższe regułki:
iptables.sh:
| Code: |
# czyszczę regułki
iptables -F
# Ustawiam domyślne polityki
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Blokuję nieprawidłowe pakiety
iptables -A INPUT -p tcp -j DROP -m state --state INVALID
#Dopuszczam ruch przychodzący
iptables -A INPUT -p tcp --dport 80 -m limit --limit 2/s -j ACCEPT
iptables -A INPUT -p tcp --dport 5001 -j ACCEPT
iptables -A INPUT -p tcp --dport 5522 -m limit --limit 2/s -j ACCEPT
iptables -A INPUT -p tcp --dport 50024 -j ACCEPT
iptables -A INPUT -p udp --dport 50034 -j ACCEPT
iptables -A INPUT -p tcp --dport 50040 -j ACCEPT
iptables -A INPUT -p udp --dport 50041 -j ACCEPT
#Dopuszczam ruch na DNSach
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535 -j ACCEPT
#Dopuszczam powrót pinga
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#Dopuszczam do ruchu połączniua już nawiązane i powiązane
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
#Dopuszczam ruch na interfejsie lokalnym
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
|
Co mam źle?
_________________
"I love you cię" Różyczko... |
|
| Back to top |
|
 |
mbar
Veteran
Joined: 19 Jan 2005
Posts: 1990
Location: Poland
|
| Posted: Mon Dec 15, 2008 9:45 am Post subject: |
|
|
| którego komputera nie możesz pingować? |
|
| Back to top |
|
|
canis_lupus
l33t
Joined: 22 Dec 2005
Posts: 773
Location: Kraków
|
| Posted: Mon Dec 15, 2008 10:23 am Post subject: |
|
|
Sorki. Oczywiście tego, na którym powyższe regułki są włączone.
_________________
"I love you cię" Różyczko... |
|
| Back to top |
|
|
gall
Tux's lil' helper
Joined: 13 Nov 2007
Posts: 142
Location: /home/gall
|
| Posted: Mon Dec 15, 2008 11:13 am Post subject: |
|
|
| Code: | iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED |
_________________
#!/bin/ssh
#The Unix Guru's View of Sex
unzip ; strip ; touch ; grep ; finger ; mount ; fsck ; more ; yes ; umount ; sleep |
|
| Back to top |
|
|
canis_lupus
l33t
Joined: 22 Dec 2005
Posts: 773
Location: Kraków
|
| Posted: Mon Dec 15, 2008 2:06 pm Post subject: |
|
|
Nie pomaga.
_________________
"I love you cię" Różyczko... |
|
| Back to top |
|
|
mbar
Veteran
Joined: 19 Jan 2005
Posts: 1990
Location: Poland
|
|
| Back to top |
|
|
gall
Tux's lil' helper
Joined: 13 Nov 2007
Posts: 142
Location: /home/gall
|
| Posted: Mon Dec 15, 2008 8:16 pm Post subject: |
|
|
Praktycznie to co dałem ale bez NEW. Może zadziała najlepiej sprawdź.
_________________
#!/bin/ssh
#The Unix Guru's View of Sex
unzip ; strip ; touch ; grep ; finger ; mount ; fsck ; more ; yes ; umount ; sleep |
|
| Back to top |
|
|
canis_lupus
l33t
Joined: 22 Dec 2005
Posts: 773
Location: Kraków
|
| Posted: Tue Dec 16, 2008 7:13 am Post subject: |
|
|
z NEW też sprawdzałem, poza tym jeśli nien podam stanu, to powinien akceptować wszystkie stany.
_________________
"I love you cię" Różyczko... |
|
| Back to top |
|
|
Bialy
Guru
Joined: 20 Mar 2006
Posts: 486
|
| Posted: Tue Dec 16, 2008 8:26 am Post subject: |
|
|
1) Ustaw regułki dla połączeń nawiązanych i powiązanych wyżej (przed regułami pozwalającymi na dostęp).
Ograniczysz przeszukiwanie reguł.
2) Spróbuj tych ustawień (nie będę pisał jakie typy są dopuszczane - sam sprawdź  )
| Code: | iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT
|
PS. regułki OUTPUT możesz sobie podarować (ze względu na politykę domyślną). |
|
| Back to top |
|
|
Gogiel
Guru
Joined: 11 Nov 2004
Posts: 347
|
| Posted: Tue Dec 16, 2008 2:56 pm Post subject: |
|
|
| Code: | | cat /proc/sys/net/ipv4/icmp_echo_ignore_all |
_________________
Jabber: gogiel@gmail.com |
|
| Back to top |
|
|
canis_lupus
l33t
Joined: 22 Dec 2005
Posts: 773
Location: Kraków
|
| Posted: Tue Dec 16, 2008 5:32 pm Post subject: |
|
|
0
_________________
"I love you cię" Różyczko... |
|
| Back to top |
|
|
|
Polskie forum (Polish) 
