iptables problem

[petera]

Θα ήθελα να σας ρωτήσω κάτι σχετικά με τα iptables.

 

Είναι γνωστό πως όταν φτιάχνουμε τα rules στο firewall πρέπει να έχουνε rules όσο για τι incoming traffic όσο και για το outgoing.

Ώμος σχεδόν όλα τα καινούρια firewalls όπως π.χ του Solaris το ipf ή αυτό της Cisco που χρησιμοποιεί στα router της είναι statefull (όπως άλλωστε και το iptables).

Στα statefull firewalls δεν είναι απαραίτητο ναι φτιάχνεις ένα rule και για τις δυο κατευθύνσεις, δηλαδή αν αφήνεις π.χ το http στο out, όταν έρχεται το traffic για την 80 φτιάχνει αυτόματα rule στο incoming, στο οποίο όπως λέει κρατάει το state.

Το πρόβλημα μου είναι όταν δεν μπορώ να καταλάβω πως ενεργοποιείτε αυτή η λειτουργία στα iptables. Δουλεύω περισσότερο Solaris και εκεί ξερώ πως ακριβός δουλεύει ο firewall . Το iptables το έχω ρυθμίσει στα πάντα εκτός από αυτό και δεν θέλω να φτιάχνω 70 rules για το incoming traffic. Αν ξέρει κάποιος ας βοηθήσει. Έχω FC7 με iptables 1.3.7.

 

Ευχαριστώ πολύ

 

P.S

 

Έκανα κατά λάθος την ιδία ερώτηση και στο thread “Εισαγωγικός οδηγός iptables” αλλά δεν ξερώ πώς να το σβησω από ki , αν θελει καπιος moderator ας το σβήσει

[apoikos]

Το stateful firewalling στο Linux γίνεται μέσω του connection tracking module και του state match και ενεργοποιείται ως εξής:

>
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Αντίστοιχα μπορείς να το κάνεις και για τη FORWARD και την OUTPUT chain. Από κει και πέρα ορίζεις κανονικά στο firewall ποιες συνδέσεις θα είναι αυτές που επιτρέπεις να δημιουργούνται και άπαξ και αυτές δημιουργηθούν, το firewall θα τις αφήνει να λειτουργήσουν κανονικά. Είναι πολύ σημαντικό ο κανόνας του stateful matching να είναι πάνω-πάνω στην εκάστοτε αλυσίδα.

 

Τέλος, υπάρχουν και βοηθητικά modules για το connection tracking «μυστήριων» πρωτοκόλλων (π.χ. FTP, SCTP κλπ). Από αυτά μάλλον θα χρειαστείς το ip_conntrack_ftp, το οποίο και φορτώνεις με modprobe.

 

Επειδή η απορία αυτή είναι καλή, ας συνεχίσουμε τη συζήτηση στον [thread=170844]οδηγό[/thread].