miras 0 Zgłoś post Napisano Wrzesień 6, 2017 Witam, mam taka konfiguracje iptables, chce zeby odblokowane byly porty tylko ssh i pptp, ssh dziala natomiast vpn nie... sudo iptables -P INPUT DROP sudo iptables -P OUTPUT DROP sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT sudo iptables -A INPUT -i eth0 -p gre -j ACCEPT # Allow localhost traffic sudo iptables -A INPUT -i lo -m state --state NEW -j ACCEPT sudo iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT # Allow server and internal network to go anyway sudo iptables -A INPUT -s 10.0.0.0/24 -m state --state NEW -j ACCEPT sudo iptables -A INPUT -s 199.101.100.10 -m state --state NEW -j ACCEPT sudo iptables -A OUTPUT -m state --state NEW -j ACCEPT sudo iptables-save Podpowie ktoś co robię źle? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mariaczi Zgłoś post Napisano Wrzesień 6, 2017 Przeanalizuj reguły na OUTPUT. Nie pamiętam po jakim porcie lata pptp i nie bardzo chce mi się za tym grzebać. Udostępnij ten post Link to postu Udostępnij na innych stronach
miras 0 Zgłoś post Napisano Wrzesień 6, 2017 U mnie lata na 100% na tym porcie: 1723 Udostępnij ten post Link to postu Udostępnij na innych stronach
Vasthi 74 Zgłoś post Napisano Wrzesień 7, 2017 (edytowany) Edytowano Marzec 26, 2018 przez Vasthi (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Wrzesień 7, 2017 Przede wszystkim zmień protokół na bardziej bezpieczny. Udostępnij ten post Link to postu Udostępnij na innych stronach
miras 0 Zgłoś post Napisano Wrzesień 7, 2017 (edytowany) Ruch jest na pewno na porcie 1723, przy takiej konfiguracji ssh mam otwarte, ale 1723 juz nie, co robię źle? sudo iptables -P INPUT DROP sudo iptables -P OUTPUT DROP sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p gre -j ACCEPT iptables -A OUTPUT -p gre -j ACCEPT iptables -A INPUT -p tcp --sport 1723 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT sudo iptables-save Jeszcze iptables -L: Chain INPUT (policy DROP) target prot opt source destination ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 state NEW ACCEPT all -- 10.0.0.0/8 anywhere ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:1723 ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:1723 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:1723 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:1723 Chain FORWARD (policy ACCEPT) target prot opt source destination TCPMSS tcp -- 192.168.2.0/24 anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT gre -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:1723 Edytowano Wrzesień 7, 2017 przez miras (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mariaczi Zgłoś post Napisano Wrzesień 7, 2017 Ruch jest na pewno na porcie 1723, przy takiej konfiguracji ssh mam otwarte, ale 1723 juz nie, co robię źle? W którą stronę? Przeanalizowałeś swoje reguły na OUTPUT jak pisałem? Podpowiedział Ci już Vasthi co masz zrobić. Zatem zastosuj się do wskazówki i po zestawieniu połączenia sprawdź, które porty są w użyciu przez VPNa. Udostępnij ten post Link to postu Udostępnij na innych stronach
miras 0 Zgłoś post Napisano Wrzesień 7, 2017 Nawet jeżeli port 1723 służy do inicjowania połączenia to i tak musi być otwarty, a niestety nie jest, wypadałoby zaczać chyba od otwarcia tego portu... Udostępnij ten post Link to postu Udostępnij na innych stronach
