Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w wątku Administracja.
Wątki z problemami zamieszczone w dziale "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

Autor Wątek: IPTABLES jak wystartować z nauką ?  (Przeczytany 229 razy)

Offline m72

  • Newbie
  • *
  • Wiadomości: 14
  • Reputacja: 0
IPTABLES jak wystartować z nauką ?
« dnia: Marzec 01, 2021, 04:34:13 pm »
Panowie i Panie.
Chciałem zacząć ogarniać IPTABLES ale jest problem. Na dzień dobry mam wiele reguł których nawet nie mogę usunąć .
Na ten moment mam zainstalowanego mint-a jako host a w nim virtualkę ubu-server20. Używałem do instalacji qemu. Obie maszyny działają raczej poprawnie ale plan jest taki żeby postawić serwer www na systemie wirtualnym a nie na hoście i żeby cały ruch odpowiednio przekierować na virtualkę.

Oto konfiguracja hosta.

ifconfig:

enp5s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::9ec7:33b4:8d7d:3ce3  prefixlen 64  scopeid 0x20<link>
        ether d4:ae:52:bd:51:14  txqueuelen 1000  (Ethernet)
        RX packets 473837  bytes 112634548 (112.6 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 496335  bytes 152769983 (152.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 17 

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 8351  bytes 2287777 (2.2 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8351  bytes 2287777 (2.2 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 52:54:00:48:94:5e  txqueuelen 1000  (Ethernet)
        RX packets 5006  bytes 357837 (357.8 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23392  bytes 32790335 (32.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vnet0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::fc54:ff:fef2:ea29  prefixlen 64  scopeid 0x20<link>
        ether fe:54:00:f2:ea:29  txqueuelen 1000  (Ethernet)
        RX packets 5006  bytes 427921 (427.9 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 94738  bytes 36505208 (36.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

iptables -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N LIBVIRT_FWI
-N LIBVIRT_FWO
-N LIBVIRT_FWX
-N LIBVIRT_INP
-N LIBVIRT_OUT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-A INPUT -j LIBVIRT_INP
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j LIBVIRT_FWX
-A FORWARD -j LIBVIRT_FWI
-A FORWARD -j LIBVIRT_FWO
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j LIBVIRT_OUT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A LIBVIRT_FWI -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A LIBVIRT_FWI -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWO -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A LIBVIRT_FWO -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWX -i virbr0 -o virbr0 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 68 -j ACCEPT


Po próbie skasowania reguł i tak coś zostaje.

iptables -F

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N LIBVIRT_FWI
-N LIBVIRT_FWO
-N LIBVIRT_FWX
-N LIBVIRT_INP
-N LIBVIRT_OUT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output


Jakto ogarnąć, od czego zacząć, jak żyć ?

Offline LinGruby

  • Full Member
  • ***
  • Wiadomości: 132
  • Reputacja: 0
  • notoryczny brak weny ;)
Odp: IPTABLES jak wystartować z nauką ?
« Odpowiedź #1 dnia: Marzec 03, 2021, 09:06:51 pm »
na początek man iptables
i przejrzeć neta:

https://duckduckgo.com/?q=IPTABLES&ia=web
( ͡° ͜ʖ ͡°)  Linux User #592024  System:  arch-spectrwm  Kernel:  5.X.X.llX-1-lingruby x86_64 (64 bit gcc: 11.1.0)
Desktop: twm info: polybar wm: spectrwm 3.4.1  dm: lightdm  Distro: Arch Linux

Offline m72

  • Newbie
  • *
  • Wiadomości: 14
  • Reputacja: 0
Odp: IPTABLES jak wystartować z nauką ?
« Odpowiedź #2 dnia: Marzec 05, 2021, 02:10:29 am »
Nie wiem bym bez ciebie zrobił. Nie wpadłem na to że na necie coś może być ! Geniusz !

Offline rzax666

  • Jr. Member
  • **
  • Wiadomości: 69
  • Reputacja: -39
Odp: IPTABLES jak wystartować z nauką ?
« Odpowiedź #3 dnia: Maj 03, 2021, 04:20:49 am »
systemctl status u(tab) ip(tab)  pewnie uslugi czeba wylaczyc,  co do nauki to czarno to widze ... ale ten nastepca podobno jeszcze gorszy ;DDDD