Не работает блокирование адресов в iptables?

Question

[Владислав Колоцей]

В iptables пишу следующую строку для моего веб-сервера:

По идее должен быть доступ только с локальной сети и с ip адреса, закрашенного красным. Но все могут достучаться до моего веб-сервера. Что мне необходимо сделать, чтобы доступ имели только с локальной сети и с определённого ip адреса?
P.S. Пробовал вместо -A вставлять -I. Никакого результата. Может я не сохраняю что-то?

Comments

[Александр Карабанов]

Зачем вы делаете скриншоты текста? Просто скопируйте текст и вставьте. Ведь тем кто будет отвечать удобнее и быстрее исправить, то что вы понаписали...

Answer 1

[mureevms]

Правила полиси покажите.
Скорее всего они у Вас
-P INPUT ACCEPT
а надо
-P INPUT DROP

UPD: Ну и не забудьте для SSH исключение на входящие соединения сделать )

Comments

[Владислав Колоцей]

[Владимир]

-P - это правило по дефолту
iptables -L -vn
Chain INPUT (policy DROP 5980 packets, 1879K bytes)
pkts bytes target prot opt in out source destination
...

у вас там ACCEPT

[Владимир]

в выхлопе iptables-save оно так
...
*filter
:INPUT DROP [0:0]
...

[Владислав Колоцей]

Владимир:

[mureevms]

Вот Ваши правила:
iptables -P INPUT DROP
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport xxx -j ACCEPT
iptables -A INPUT -p TCP -s xxx.xxx.xxx.xxx/xx --dport xxx -j ACCEPT

Читайте про Default Policy. Если кратко, то по феншую надо дефолт полиси ставить в дроп, затем разрешать все что требуется вручную. У Вас же эта политика ACCEPT, поэтому и не работает.

[Владимир]

Владислав Колоцей
вместо строки
:INPUT ACCEPT [2:60]
вбить
:INPUT DROP [0:0]

числа между [ ] побоку это начальные счетчики

[mureevms]

Владимир: Вбейте то, что я написал выше - 4 правила. А затем по подобию открывайте другие порты

[Владислав Колоцей]

mureevms: Я щас нахожусь на удаленке. Не собьется ли у меня потом ssh соединение?

[mureevms]

Владислав Колоцей: нет. Второе правило его разрешает

[mureevms]

Ну и
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
чтобы текущие соединения не дропнулись

[Владислав Колоцей]

mureevms: После этой команды погасло SSH соединение: iptables -P INPUT DROP

[mureevms]

Владислав Колоцей: Вы их поочереди вводили, не из скрипты? Поздравляю :)

[mureevms]

С другой стороны, цель достигнута.
Перегрузите машину, правила сбросятся

[Владислав Колоцей]

mureevms: то есть если попросить перезагрузить машину, то я смогу присоединиться?

[mureevms]

Владислав Колоцей: да, правила iptables введенные с консоли, но не сохраненные скидываются после перезагрузки

[Владислав Колоцей]

mureevms: действительно заработало. То есть мне те команды надо сразу четыре скопировать и вставить, так я понял?

[mureevms]

Владислав Колоцей: зависит от диструбутива. Как Вы правила сохраняете? Так и делайте.
Вообще, если ввести сначала
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport xxx -j ACCEPT
iptables -A INPUT -p TCP -s xxx.xxx.xxx.xxx/xx --dport xxx -j ACCEPT
А затем
iptables -P INPUT DROP
то коннект по SSH разорваться не должен.

[Владислав Колоцей]

mureevms: Сохраняю файл /etc/sysconfig/iptables и затем service iptables restart

[Владислав Колоцей]

mureevms:
А куда эти правила вообще сохраняются? После ввода команд файл /etc/sysconfig/iptables не изменился. Или мне нужно сохранить правильно или перезагрузить?

[mureevms]

Владислав Колоцей: значит туда и сохраняйте
На всякий случай сделайте в кроне запись на сброс политик по умолчанию, пока правила отлаживаете, т.к. если ошибетесь при сохранении, то после ребута правила не сбросятся и SSH не заработает

[mureevms]

Владислав Колоцей: Не совсем понял предыдущее сообщение.
Какой дистрибутив используется?

[Владислав Колоцей]

mureevms: cent os 6.8. НУ вот раньше я закидывал цепочки правил в /etc/sysconfig/iptables, затем сохранял этот файл и перезагружал iptables. Сейчас я ввожу просто эти команды в консоли и они срабатывают, но куда вносятся записи я не понимаю

[mureevms]

Владислав Колоцей: Ни куда не вносятся, поэтому и работают до перезагрузки.
Сохраняйте правила как делали это раньше, т.е. через сохранение правил в /etc/sysconfig/iptables

Но, еще раз повторю, На всякий случай сделайте в кроне запись на сброс политик по умолчанию, пока правила отлаживаете, т.к. если ошибетесь при сохранении, то после ребута правила не сбросятся и SSH не заработает

[Владислав Колоцей]

mureevms: Не понимаю о чём вы говорите (про крон). И да, сделал restart iptables, и всё опять доступно стало. Ничего не блокируется. А файл /etc/sysconfig/iptables остался таким же.

[Владислав Колоцей]

mureevms: То есть получается, cent os не смотрит на этот файл? Или что?

[mureevms]

Владислав Колоцей: Смотрите, restart iptables применяет правила, которые сохранены в /etc/sysconfig/iptables
Чтобы их туда сохранить, Вы можете поступить двумя способами:
1. Ввести правила с консоли и они сразу начнут работать, но чтобы сохранить надо сделать iptables-save, тогда они сохранятся в /etc/sysconfig/iptables и только тогда применятся после ребута.
2. Руками отредактировать /etc/sysconfig/iptables, внеся туда нужные правила и сделать restart iptables.

Про крон.
Представьте, что Вы ошиблись с правилами в /etc/sysconfig/iptables, сделали iptables-save и restart iptables и они заблочили все. Изменить это можно только с консоли, т.к. на машину не попасть.
Чтобы этого не случилось я предлагаю вставить в крон на каждае 10 минут скрипт примерно такого содержания:
#!/bin/sh
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Который будет очищать все цепочки и позволит коннектится к серверу.

[Владислав Колоцей]

mureevms: Видимо те правила, которые у меня написаны в /etc/sysconfig/iptables не работают. Или неправильно написаны. Потому что после перезагрузки iptables я ввожу команду iptables --line-numbers -n -L и там вот такое:
А после ввода например вот этой команды: iptables -A INPUT -p TCP --dport 22 -j ACCEPT выводит следующее:

Значит мои правила почему то не работают /etc/sysconfig/iptables

[mureevms]

Владислав Колоцей: содержимое /etc/sysconfig/iptables то же, что и на скрине в несколько ответов выше?
после
servise iptables restart
правила, написанные в этом файле, должны применяться

[Владислав Колоцей]

mureevms: После рестарта высвечивается такое:https://habrastorage.org/files/b01/090/ada/b01090a...
то есть не применяются правила в /etc/sysconfig/iptables

[mureevms]

Владислав Колоцей: значит /etc/sysconfig/iptables должен быть пуст.

[Владислав Колоцей]

mureevms: Все решил проблему. Решил делать следующим образом:
вводил команды в консоль, которые вы мне написали выше. Затем сделал service iptables save (не iptables-save, потому что не применилось) и новые правила применились и после рестарта стали отображаться в iptables --line-numbers -n -L. Теперь буду через консоль добавлять правила и потом их сохранять. Спасибо за помощь, очень сильно помогли)) С вашей помощью я стал чуточку лучше понимать в линуксе

[Владислав Колоцей]

mureevms: И после сохранения правила по-другому записываются в /etc/sysconfig/iptables. Значит я просто неправильно писал правила в /etc/sysconfig/iptables

[mureevms]

Владислав Колоцей: Ну вот и отлично :)
>>Теперь буду через консоль добавлять правила и потом их сохранять
я бы рекомендовал делать при помощи скрипта.

[Владислав Колоцей]

mureevms: Ну можно и так. Хотя, щас попробывал в сам файл /etc/sysconfig/iptables записывать правила по аналогии с созданными и нормально всё применяется.

Answer 2

[Azazel PW]

Покажите полностью таблицу
iptables -S
В идеале должно показать так, приведу пример на основе порта ssh

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp -s %source_ip% --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

Тогда у вас будут reject на все остальные ip

Comments

[Владислав Колоцей]

[3vi1_0n3]

Владислав Колоцей: У вас :INPUT ACCEPT, то есть проходят все соединения. Сделайте как mureevms написал