Får inte iptables att funka....

[W1zard]

är så att jag e lite grön på linux så jag har säkert gjort något simpelt fel. Jag valde iaf att försöka skapa en brandvägg med iptables igår, men då jag ska acceptera anslutningarna på port 22tex så kan jag inte ansluta efteråt.

kan säga redan nu, jag är inte intersserad av att köra gui utan jag vill lära mig i text mode

såhär är mina iptables skrivna

-A OUTPUT ACCEPT
-A FORWARD DROP
-A INPUT DROP

-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp --dport ssh -j ACCEPT
-A INPUT -state --state RELATED,ESTABLISHED -j ACCEPT


någon som har tipps, jag har suttit och läst lite och jag vet inte riktigt vad jag har missat.

/Simon

[webaake]

Oj, friskt satsat utan GUI!


Vad blir resultatet om du i Terminal skriver typ sudo iptables --list ??

I din uppställning kan jag inte se att port 22 är öppnad.


PS Jag kör Firestarter med bra resultat. Men utan GUI kan man göra mer med Iptables.
PPS Oops, såg inte; --dport ssh  !!!
PPPS Körde Iptables utan GUI för ca 5 år sedan.....Kör nu med GUI (blivit gammal ??)

[W1zard]

jag sitter på jobbet atm men igår före jag la mig så drog jag en iptables -nvL, då visar den att port 22 är öppen

läst mig till att man ska kunna skriva --dport ssh så väljer den porten ssh har fått i /etc/services

provade även att köra

-A INPUT -p tcp --dport 22 -j ACCEPT

med samma resultat, så det borde vara något annat som jag missat

ang modigt, jag vet att programet gör detta åt mig osynligt i bakrunden som alla program. men jag känner hellre att jag vill lära mig och förstå vad som händer, sen har program en tendens till att lägga till väl mkt regler.  keep it easy, keep it safe

[webaake]

Med mina begränsade kunskaper verkar detta OK.

Kanske du kan kolla att allt är rätt i sshd_config ( /etc/ssh/sshd_config )? Där finns inställningar för hosts-allow m m.


Lyckat till!

[W1zard]

jag var lite otydlig före också
har provat rensa hela iptables och då fungerar det att ansluta, har också kollat att det är port 22

[danno]

Testa att skriva -A INPUT DROP sist när du anger reglerna.

-A = append = lägg till regel.

iptables läser reglerna i den ordning de är inskrivna.
Ange de du vill acceptera innan du droppar resten.

[morfar]

du kan även använda ett program som heter fwbuilder för att lätt administrera iptables

[W1zard]

Testa att skriva -A INPUT DROP sist när du anger reglerna.

-A = append = lägg till regel.

iptables läser reglerna i den ordning de är inskrivna.
Ange de du vill acceptera innan du droppar resten.

så illa kan det nog vara
ska testa det, återkommer med några timmar med svar

[webaake]

fwbuilder, är det bra?`

Firestarter gjorde det lätt att komma igång med internetdelning samt brandvägg, MEN loggning suger stort. Plus att jag vet att man kan göra mer än vad Firestarter tillåter-

[morfar]

fwbuilder är mycket bra.

[Macchi]

Min favorit är FireHOL, som hjälper att att bygga en brandvägg på högre nivå än med iptables.
Det innebär en bättre och säkrare lösning på kortare tid. Underhåll och ändringar underlättas också.

[Okänd]

Jag kör shorewall. Också ett frontend för iptables. Funkar bra

[Mekaniserad Apelsin]

Testa att skriva -A INPUT DROP sist när du anger reglerna.
-A = append = lägg till regel.

Eller så använder han policies: -P INPUT DROP som definierar vad som ska ske när ingen regel passar...

Jag vill rekommendera http://easyfwgen.morizot.net/ som skapar ett fint script till iptables som är överdrivet bra kommenterat och fungerar alldeles för bra som upplärningsverktyg till hur iptables fungerar SAMTIDIGT som den skapar en jättebra brandvägg. Logisk och bra uppbyggd.

[webaake]

Kollade just igenom ett script från denna;  http://easyfwgen.morizot.net/
och det ser mycket bra ut! MAn får bättre koll på brandväggen jämfört med t ex Firestarter, samt att den antagligen är 'smartare'.

Skall snart sparka ut Firestarter och installera ett eget script från scriptgeneratorn ovan.

[webaake]

Testade firewall generatorn ovan med mycket gott resultat i samband med ett nytt nätverkskort! Funka kanon nästan direkt. Mycket mer konfigurerbart och bättre loggning jämfört med Firestarter, samt mindre krävande för datorn. (Kanske lite mer krävande för användaren)