Linuxiarze.pl Forum

Oprogramowanie => Internet => Wątek zaczęty przez: m72 w Marzec 01, 2021, 04:34:13 PM

Tytuł: IPTABLES jak wystartować z nauką ?
Wiadomość wysłana przez: m72 w Marzec 01, 2021, 04:34:13 PM
Panowie i Panie.
Chciałem zacząć ogarniać IPTABLES ale jest problem. Na dzień dobry mam wiele reguł których nawet nie mogę usunąć .
Na ten moment mam zainstalowanego mint-a jako host a w nim virtualkę ubu-server20. Używałem do instalacji qemu. Obie maszyny działają raczej poprawnie ale plan jest taki żeby postawić serwer www na systemie wirtualnym a nie na hoście i żeby cały ruch odpowiednio przekierować na virtualkę.

Oto konfiguracja hosta.

ifconfig:


enp5s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::9ec7:33b4:8d7d:3ce3  prefixlen 64  scopeid 0x20<link>
        ether d4:ae:52:bd:51:14  txqueuelen 1000  (Ethernet)
        RX packets 473837  bytes 112634548 (112.6 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 496335  bytes 152769983 (152.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 17 

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 8351  bytes 2287777 (2.2 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8351  bytes 2287777 (2.2 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 52:54:00:48:94:5e  txqueuelen 1000  (Ethernet)
        RX packets 5006  bytes 357837 (357.8 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23392  bytes 32790335 (32.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vnet0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::fc54:ff:fef2:ea29  prefixlen 64  scopeid 0x20<link>
        ether fe:54:00:f2:ea:29  txqueuelen 1000  (Ethernet)
        RX packets 5006  bytes 427921 (427.9 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 94738  bytes 36505208 (36.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

iptables -S


-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N LIBVIRT_FWI
-N LIBVIRT_FWO
-N LIBVIRT_FWX
-N LIBVIRT_INP
-N LIBVIRT_OUT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-A INPUT -j LIBVIRT_INP
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j LIBVIRT_FWX
-A FORWARD -j LIBVIRT_FWI
-A FORWARD -j LIBVIRT_FWO
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j LIBVIRT_OUT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A LIBVIRT_FWI -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A LIBVIRT_FWI -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWO -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A LIBVIRT_FWO -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWX -i virbr0 -o virbr0 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 68 -j ACCEPT



Po próbie skasowania reguł i tak coś zostaje.

iptables -F


-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N LIBVIRT_FWI
-N LIBVIRT_FWO
-N LIBVIRT_FWX
-N LIBVIRT_INP
-N LIBVIRT_OUT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output



Jakto ogarnąć, od czego zacząć, jak żyć ?
Tytuł: Odp: IPTABLES jak wystartować z nauką ?
Wiadomość wysłana przez: LinGruby w Marzec 03, 2021, 09:06:51 PM
na początek man iptables

i przejrzeć neta:

https://duckduckgo.com/?q=IPTABLES&ia=web
Tytuł: Odp: IPTABLES jak wystartować z nauką ?
Wiadomość wysłana przez: m72 w Marzec 05, 2021, 02:10:29 AM
Nie wiem bym bez ciebie zrobił. Nie wpadłem na to że na necie coś może być ! Geniusz !
Tytuł: Odp: IPTABLES jak wystartować z nauką ?
Wiadomość wysłana przez: rzax666 w Maj 03, 2021, 04:20:49 AM
systemctl status u(tab) ip(tab)  pewnie uslugi czeba wylaczyc,  co do nauki to czarno to widze ... ale ten nastepca podobno jeszcze gorszy ;DDDD