Почему после применения правил IPTABLES в Debian 10 всё блокируется?

Question

Евгений Старков @asencilius

Почему после применения правил IPTABLES в Debian 10 всё блокируется?

Перепробовал множество правил и в итоге всё приводит к полной блокировке. Помогает только reboot, не один порт после применения правил не работает. Исходя из логики, всё как бы должно работать, как быть?

Пример цепочек:

#!/bin/bash

# Flush rules and delete custom chains
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Define chain to allow particular source addresses
iptables -N chain-incoming-ssh
# iptables -A chain-incoming-ssh -s 192.168.1.148 -j ACCEPT
# iptables -A chain-incoming-ssh -s 192.168.1.149 -j ACCEPT
iptables -A chain-incoming-ssh -j DROP

# Define chain to allow particular services
iptables -N chain-outgoing-services
iptables -A chain-outgoing-services -p tcp --dport 53  -j ACCEPT
iptables -A chain-outgoing-services -p udp --dport 53  -j ACCEPT
iptables -A chain-outgoing-services -p tcp --dport 123 -j ACCEPT
iptables -A chain-outgoing-services -p udp --dport 123 -j ACCEPT
iptables -A chain-outgoing-services -p tcp --dport 80  -j ACCEPT
iptables -A chain-outgoing-services -p tcp --dport 443 -j ACCEPT
iptables -A chain-outgoing-services -p tcp --dport 22  -j ACCEPT
iptables -A chain-outgoing-services -p icmp            -j ACCEPT
iptables -A chain-outgoing-services -j DROP

# Define chain to allow established connections
iptables -N chain-states
iptables -A chain-states -p tcp  -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A chain-states -p udp  -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A chain-states -p icmp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A chain-states -j RETURN

# Drop invalid packets
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

# Accept everything on loopback
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Accept incoming/outgoing packets for established connections
iptables -A INPUT  -j chain-states
iptables -A OUTPUT -j chain-states

# Accept incoming ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Accept incoming SSH
iptables -A INPUT -p tcp --dport 22 -j chain-incoming-ssh

# Accept outgoing 
iptables -A OUTPUT -j chain-outgoing-services

## Drop everything else
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

Вопрос задан более трёх лет назад
287 просмотров

12 комментариев

Подписаться 1 Средний 12 комментариев

Valentin Barbolin @dronmaxman

iptables -A chain-outgoing-services -p tcp --dport 53 -j ACCEPT

Точно dport ? Может все таки sport?

Написано более трёх лет назад
Евгений Старков @asencilius Автор вопроса

Andrey Barbolin, Да, точно dport.

Написано более трёх лет назад
Valentin Barbolin @dronmaxman

Евгений Старков, Тогда добавь вот такую строчку и проверь SSH
iptables -A chain-outgoing-services -p tcp --sport 22 -j ACCEPT

Написано более трёх лет назад
shurshur @shurshur

Andrey Barbolin, это у него должно подпадать под chain-states

Написано более трёх лет назад
shurshur @shurshur

Евгений Старков, сходу ничего не видно. Значит, надо искать, логгированием или методом исключения.

Надеюсь, хост не по сети управляется, и доступ к консоли есть, чтобы смотреть, что происходит?

Надо начать с просмотра iptables -L -n -v, там есть счётчики пакетов, по которым уже, вероятно, может быть заметно срабатывание определённых правил на конкретные виды трафика.

Можно пытаться убирать отдельные DROP и сравнивать ощущения, например, я бы попробовал начать с OUTPUT policy.

Можно делать логгирование, например, добавить в конце OUTPUT, чтобы видеть, что было перед проваливанием в policy DROP:

iptables -A OUTPUT -j LOG --log-prefix "iptables_OUTPUT_DROP: "

И дальше смотреть в выводе команды dmesg или в логах.

Написано более трёх лет назад
Valentin Barbolin @dronmaxman

shurshur, Вообще для дебага iptables придумали trace.
https://backreference.org/2010/06/11/iptables-debu...

Написано более трёх лет назад
Valentin Barbolin @dronmaxman
shurshur,

это у него должно подпадать под chain-states

Не согласен.

ESTABLISHED -- meaning that the packet is associated with a connection which has seen packets in both directions,

Мне кажется у него блокируется исходящий трафик и соответственно соединение не попадает ESTABLISHED.

iptables -A chain-outgoing-services -p tcp --dport 22 -j ACCEPT

В таблице OUTPUT dport это порт клиента, а не сервера, получается правило отработает когда исходящий трафик будет итти на 22 порт клиента. Тут должен быть sport.
Написано более трёх лет назад
shurshur @shurshur
Andrey Barbolin, никогда TRACE не пользовался, но по сути оно через тот же LOG работает. Я обычно делаю по-другому и с другой целью, чем отладка, вот такими правилами:

# ACCEPT с логгированием -A LOG_ACCEPT -m state --state INVALID,NEW -m limit --limit 10/sec -j LOG --log-prefix "iptables-ACCEPT " -A LOG_ACCEPT -j ACCEPT # DROP с логгированием -A LOG_DROP -m limit --limit 10/sec -j LOG --log-prefix "iptables-DROP " --log-level 4 -A LOG_DROP -j DROP

Неправда, в chain-outgoing-services перечислено то, что будет инициироваться с этого хоста, исходящий трафик наружу. Входящий трафик снаружи на 22 порт тут ни при чём, его как раз chain-states должен обрабатывать. По крайней мере это так задумано, а вот как реально --ctstate в данной ситуации работает я не знаю, и вообще, я всегда пользовался --state.
Написано более трёх лет назад
Valentin Barbolin @dronmaxman

shurshur,
> Неправда, в chain-outgoing-services перечислено то, что будет инициироваться с этого хоста
ОК, но остальной исходящий трафик запрещен. Входящий соединение SSH на этот сервер не попадет в ESTABLISHED пока сервер не ответит на входящее соединение, а сервер не может ответить, потому что:

iptables -A chain-outgoing-services -j DROP
iptables -P OUTPUT DROP

Написано более трёх лет назад
shurshur @shurshur

Andrey Barbolin, я когда читал этот вопрос полез бегло гуглить, подпадает ли SYN ACK под ESTABLISHED и вроде как по найденным картинкам должен подпадать (но это неточно), впрочем, это какое-то нелогичное поведение - считать установленным не до конца установленное соединение. Ну а так проверять внимательнее мне пока лениво было.

Написано более трёх лет назад
Евгений Старков @asencilius Автор вопроса

Andrey Barbolin, всё верно, исходящий трафик был запрещен, это и было проблемой...

Написано более трёх лет назад
Евгений Старков @asencilius Автор вопроса

Большое спасибо всем, кто откликнулся!

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Android

+1 ещё

Простой
Как происходит управление приложениями в Android?
- 1 подписчик
- 52 минуты назад
- 9 просмотров
1

ответ
Nginx

+1 ещё

Простой
Почему при наличии системной переменной Debian 12.8 в «/usr/sbin/nginx» — при вводе команды «# nginx -v» ошибка «команда не найдена»?
- 2 подписчика
- 14 нояб.
- 128 просмотров
1

ответ
Linux

+2 ещё

Простой
Почему не выделяется паттерн grep?
- 1 подписчик
- 12 нояб.
- 95 просмотров
1

ответ
Debian

Простой
Как удалить «невидимую» символическую ссылку в FTP каталоге?
- 1 подписчик
- 11 нояб.
- 77 просмотров
0

ответов
Debian

+1 ещё

Простой
Как использовать Wi-Fi на Astra Linux?
- 2 подписчика
- 05 нояб.
- 907 просмотров
1

ответ
Iptables

Средний
Как сделать список destination в iptables?
- 2 подписчика
- 31 окт.
- 138 просмотров
1

ответ
Linux

+1 ещё

Простой
Почему не работает apt update?
- 2 подписчика
- 29 окт.
- 230 просмотров
1

ответ
Windows

+4 ещё

Простой
Почему не удается сбилдить nuxt на node.js?
- 1 подписчик
- 25 окт.
- 81 просмотр
0

ответов
Linux

+3 ещё

Средний
Перенаправлять трафик на другой интерфейс машины?
- 3 подписчика
- 24 окт.
- 317 просмотров
1

ответ
Debian

Средний
Как исправить баг на Debian подобных дистрибутивах последней версии?
- 1 подписчик
- 23 окт.
- 107 просмотров
1

ответ
Показать ещё Загружается…

Fullstack разработчик (JavaScript, PHP, SQL), веб программист.

CleanTalk

от 1 800 $

Python-разработчик

Налоги Онлайн

от 240 000 до 400 000 ₽

Ведущий системный аналитик

Сбер • Москва

от 240 000 ₽

Правки Wordpress сайта на WP-Recall

15 нояб. 2024, в 23:33

20000 руб./за проект

CMS Bitrix на сайте решить проблему с ошибкой 404

15 нояб. 2024, в 23:11

1000 руб./за проект

Обработка альбомов с одеждой

15 нояб. 2024, в 23:07

8000 руб./за проект

iptables -A chain-outgoing-services -p tcp --dport 53 -j ACCEPT

Точно dport ? Может все таки sport?
Евгений Старков, Тогда добавь вот такую строчку и проверь SSH
iptables -A chain-outgoing-services -p tcp --sport 22 -j ACCEPT
Andrey Barbolin, это у него должно подпадать под chain-states
Евгений Старков, сходу ничего не видно. Значит, надо искать, логгированием или методом исключения.

Надеюсь, хост не по сети управляется, и доступ к консоли есть, чтобы смотреть, что происходит?

Надо начать с просмотра iptables -L -n -v, там есть счётчики пакетов, по которым уже, вероятно, может быть заметно срабатывание определённых правил на конкретные виды трафика.

Можно пытаться убирать отдельные DROP и сравнивать ощущения, например, я бы попробовал начать с OUTPUT policy.

Можно делать логгирование, например, добавить в конце OUTPUT, чтобы видеть, что было перед проваливанием в policy DROP:

iptables -A OUTPUT -j LOG --log-prefix "iptables_OUTPUT_DROP: "

И дальше смотреть в выводе команды dmesg или в логах.
shurshur, Вообще для дебага iptables придумали trace.
https://backreference.org/2010/06/11/iptables-debu...
shurshur,

это у него должно подпадать под chain-states

Не согласен.

ESTABLISHED -- meaning that the packet is associated with a connection which has seen packets in both directions,

Мне кажется у него блокируется исходящий трафик и соответственно соединение не попадает ESTABLISHED.

iptables -A chain-outgoing-services -p tcp --dport 22 -j ACCEPT

В таблице OUTPUT dport это порт клиента, а не сервера, получается правило отработает когда исходящий трафик будет итти на 22 порт клиента. Тут должен быть sport.
Andrey Barbolin, никогда TRACE не пользовался, но по сути оно через тот же LOG работает. Я обычно делаю по-другому и с другой целью, чем отладка, вот такими правилами:

# ACCEPT с логгированием -A LOG_ACCEPT -m state --state INVALID,NEW -m limit --limit 10/sec -j LOG --log-prefix "iptables-ACCEPT " -A LOG_ACCEPT -j ACCEPT # DROP с логгированием -A LOG_DROP -m limit --limit 10/sec -j LOG --log-prefix "iptables-DROP " --log-level 4 -A LOG_DROP -j DROP

Неправда, в chain-outgoing-services перечислено то, что будет инициироваться с этого хоста, исходящий трафик наружу. Входящий трафик снаружи на 22 порт тут ни при чём, его как раз chain-states должен обрабатывать. По крайней мере это так задумано, а вот как реально --ctstate в данной ситуации работает я не знаю, и вообще, я всегда пользовался --state.
shurshur,
> Неправда, в chain-outgoing-services перечислено то, что будет инициироваться с этого хоста
ОК, но остальной исходящий трафик запрещен. Входящий соединение SSH на этот сервер не попадет в ESTABLISHED пока сервер не ответит на входящее соединение, а сервер не может ответить, потому что:

iptables -A chain-outgoing-services -j DROP
iptables -P OUTPUT DROP
Andrey Barbolin, я когда читал этот вопрос полез бегло гуглить, подпадает ли SYN ACK под ESTABLISHED и вроде как по найденным картинкам должен подпадать (но это неточно), впрочем, это какое-то нелогичное поведение - считать установленным не до конца установленное соединение. Ну а так проверять внимательнее мне пока лениво было.
Andrey Barbolin, всё верно, исходящий трафик был запрещен, это и было проблемой...
Большое спасибо всем, кто откликнулся!

Answer 1 · 2021-01-07 09:12:12

Единственный порт, который вы пытаетесь открыть: 22/tcp

# Accept incoming SSH
iptables -A INPUT -p tcp --dport 22 -j chain-incoming-ssh

Но в цепочке chain-incoming-ssh нет ничего, что разрешало бы ssh, там сразу стоит заглушка DROP.
Вариант 1: сразу открыть и не строить сложных конструкций
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Вариант 2: в ветке chain-incoming-ssh

iptables -N chain-incoming-ssh
iptables -A chain-incoming-ssh -p tcp --dport 22 -j ACCEPT
iptables -A chain-incoming-ssh -j DROP

Почему после применения правил IPTABLES в Debian 10 всё блокируется?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт