Skocz do zawartości
Zaloguj się, aby obserwować  
zoxovsky

iptables - blokada port query

Polecane posty

Witam serdecznie.

 

Chodzi o TS3

 

Z poziomu ssh zablokowałem dojście do telnetu czyli te 2 linijki :

iptables -A INPUT -p TCP --dport 10011 -j DROP
iptables -A INPUT -p UDP --dport 10011 -j DROP

Lecz po zapisaniu tego nawet nie mogę odpalić bota który jest na localhoscie (ten sam vps) ani nawet ja zalogować się z poziomu pulpitu programem YatQa aby sterować teamspeakiem.

 

Dodałem też linijki które mnie dopuszczają a oto one :

 

iptables -A INPUT -i eth0 -p tcp -s MOJADRESIP --dport 10011 -j ACCEPT

 

Co robię źle ?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Zaraz zaraz blokujesz porty i chcesz się do nich dostać? Dobrze rozumiem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Jeśli próbujesz łączysz się z pulpitu będąc na VPSie, czyli łączysz się z interfejsu "lo". Twój ACCEPT dopuszcza połączenia tylko z "eth0".

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
iptables -A INPUT -i eth0 -p tcp -s MOJADRESIP --dport 10011 -j ACCEPT


Czyli jak zamienię eth0 na "lo" będzie śmigać ? Ja potrzebuję zablokować porty ale i dać sobie tylko dostęp i mojemu VPSowi (boty) Dzięki za pomoc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Wstaw (dodaj) regułę na początek, czyli zamiast "-A" zaraz po "iptables" użyj "-I". Filtrowanie działa tak, że reguły są sprawdzane od góry do dołu, pierwsza pasująca jest brana pod uwagę i na tej podstawie pakiet jest akceptowany lub odrzucany.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

To jest duża literka "i".

iptables -I INPUT -i lo -p tcp --dport 10011 -j ACCEPT
(Proponuję "-I", bo nie wiem czy reguły dla iptables ładujesz z ręki czy ze skryptu. Jeśli ze skryptu, to może pozostać "-A". Musisz wtedy pamiętać o prawidłowej ich kolejności.)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
iptables -I INPUT -i lo -p tcp -s ADRESIP --dport 10011 -j ACCEPT

No niestety też nie mogę połączyć się z pulpitu ani nawet załączyć bota który jest z tej samej maszyny.

 

Chociaż po wpisaniu : iptables -L INPUT -v

 

Jestem na liście jako ACCEPT lecz programik wysyła mi błąd o connection timeout.

Edytowano przez zoxovsky (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
-s ADRESIP
dałeś od Siebie :) Nie podawaj źródłowego IP.

 

 

Oczywiście dałem swój :P

 

HbgyMma.png

 

Jak widać jestem zaakceptowany. Ale już z poziomu pulpitu Yatqą nie mogę się zalogować to samo dodałem IP VPSa i też bot nie może się zalogować...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Bot nie będzie próbował się czasem podłączać z localhost'a czyli 127.0.0.1 skoro uruchamiasz go na tej samej maszynie co serwer?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Bez wszelkich reguł dla iptables bot łączy się jak tego oczekujesz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak po wpisaniu iptables -F (czyli wyczyszczenia blokad) bot normalnie się łączy.

 

Następnie wpisuję te komendy :

 

iptables -A INPUT -p TCP --dport 10011 -j DROP
iptables -A INPUT -p UDP --dport 10011 -j DROP

 

Następnie :

 

iptables -A INPUT -i eth0 -p tcp -s ADRESIP --dport 10011 -j ACCEPT

 

Oczywiście tego 2 z moim adresem oraz localhostem.

 

Ale bot i ja nie możemy się zalogować.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Bez reguł iptables uruchom bota i sprawdź połączenie:

netstat -tanp
Teraz dopiero zauważyłem, że politykę INPUT masz na ACCEPT. Wzrasta licznik na regule DROP, zatem tam "trafia próba" Twojego łączenia się. Edytowano przez mariaczi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bez reguł iptables uruchom bota i sprawdź połączenie:

netstat -tanp

 

OFLf7DU.png

 

Żółty to adres serwera

Czerwony to mój adres

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Ty jesteś połączony po ssh. To czego szukasz, to nie czasem linia

tcp  0  0  127.0.0.1:34276  127.0.0.1:10011   ESTABLISHED   2039/php
?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Czyli bot łączy się na "-i lo -d 127.0.0.1 --dport 10011". Nie podawaj "-s" bo port ten będzie się zmieniał.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×