Toon posts:

iptables negeert drop regels

Pagina: 1
Acties:

woensdag 26 augustus 2009 21:46

Acties:
  • mazz
  • Registratie: November 2004
  • Laatst online: 08-06-2025

mazz

Topicstarter
Ik heb een flinke iptables config, maar om de een of andere reden dropt hij de connecties niet op porten buiten de toegestane.

Op 29 4 1312 LOGDROPIN 0 -- !lo * 0.0.0.0/0 0.0.0.0/0 wordt er naar LOGDROPIN verwezen waar er gelogt en gedropt wordt. Toch als ik bijv een teamspeak servertje of webmin installeer zijn deze gewoon bereikbaar.
Wat doe ik fout?

Config staat hier

Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 52 5604 LOCALINPUT 0 -- !lo * 0.0.0.0/0 0.0.0.0/0
2 0 0 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT udp -- !lo * 85.17.96.69 0.0.0.0/0 udp spts:1024:65535 dpt:53
4 0 0 ACCEPT tcp -- !lo * 85.17.96.69 0.0.0.0/0 tcp spts:1024:65535 dpt:53
5 1 173 ACCEPT udp -- !lo * 85.17.96.69 0.0.0.0/0 udp spt:53 dpts:1024:65535
6 0 0 ACCEPT tcp -- !lo * 85.17.96.69 0.0.0.0/0 tcp spt:53 dpts:1024:65535
7 0 0 ACCEPT udp -- !lo * 85.17.96.69 0.0.0.0/0 udp spt:53 dpt:53
8 0 0 SYNFLOOD tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
9 5 506 INVALID tcp -- !lo * 0.0.0.0/0 0.0.0.0/0
10 5 506 ACCEPT 0 -- !lo * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
12 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
13 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
14 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
15 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
16 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
17 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
18 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
19 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
20 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
21 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587
22 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
23 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
24 0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2222
25 0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:20
26 0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:21
27 0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
28 0 0 ACCEPT icmp -- !lo * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
29 4 1312 LOGDROPIN 0 -- !lo * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 77 84533 LOCALOUTPUT 0 -- * !lo 0.0.0.0/0 0.0.0.0/0
2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 OWNER GID match 8
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 OWNER UID match 0
4 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
5 0 0 ACCEPT 0 -- * lo 0.0.0.0/0 0.0.0.0/0
6 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
7 1 66 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 udp dpt:53
8 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 tcp spt:53
9 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 udp spt:53
10 5 348 INVALID tcp -- * !lo 0.0.0.0/0 0.0.0.0/0
11 4 304 ACCEPT 0 -- * !lo 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
12 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
13 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
14 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
15 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
16 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
17 1 44 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
18 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
19 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:113
20 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
21 0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2222
22 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:20
23 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:21
24 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
25 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:113
26 0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123
27 0 0 ACCEPT icmp -- * !lo 0.0.0.0/0 0.0.0.0/0
28 0 0 LOGDROPOUT 0 -- * !lo 0.0.0.0/0 0.0.0.0/0

Chain DSHIELD (1 references)
num pkts bytes target prot opt in out source destination

Chain INVALID (2 references)
num pkts bytes target prot opt in out source destination
1 0 0 INVDROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
3 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
4 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
5 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
6 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05
7 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
8 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08
9 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20
10 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

Chain INVDROP (10 references)
num pkts bytes target prot opt in out source destination
1 0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOCALINPUT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT 0 -- !lo * 82.201.5.49 0.0.0.0/0
2 42 3613 ACCEPT 0 -- !lo * 87.233.208.20 0.0.0.0/0
3 10 1991 DSHIELD 0 -- !lo * 0.0.0.0/0 0.0.0.0/0
4 10 1991 SPAMHAUS 0 -- !lo * 0.0.0.0/0 0.0.0.0/0

Chain LOCALOUTPUT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT 0 -- * !lo 0.0.0.0/0 82.201.5.49
2 71 84119 ACCEPT 0 -- * !lo 0.0.0.0/0 87.233.208.20

Chain LOGDROPIN (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
2 4 1312 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
3 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:68
4 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
5 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111
6 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:111
7 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
8 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:113
9 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:135:139
10 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
11 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
12 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445
13 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:513
14 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:513
15 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:520
16 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520
17 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_IN Blocked* '
18 0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *UDP_IN Blocked* '
19 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *ICMP_IN Blocked* '
20 0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOGDROPOUT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_OUT Blocked* '
2 0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *UDP_OUT Blocked* '
3 0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *ICMP_OUT Blocked* '
4 0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain SPAMHAUS (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 DROP 0 -- * * 95.215.76.0/22 0.0.0.0/0
+ nog 160 ip ranges


Chain SYNFLOOD (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 RETURN 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 150
2 0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *SYNFLOOD Blocked* '
3 0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0

20 jaar, en wat had ik bereikt?

donderdag 27 augustus 2009 01:00

Acties:
  • Midas.e
  • Registratie: Juni 2008
  • Laatst online: 18-02 21:13

Midas.e

Is handig met dinges

Probeer eens iptables -P INPUT DROP ?
Gooi ook even je config online, niet de output van iptables --list.

Hacktheplanet / PVOutput

donderdag 27 augustus 2009 01:05

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Midas.e schreef op donderdag 27 augustus 2009 @ 01:00:
Probeer eens iptables -P INPUT DROP ?
Wat voor nut zou dat hebben? ;)
Chain INPUT (policy DROP 0 packets, 0 bytes)
;)

donderdag 27 augustus 2009 10:12

Acties:
  • mazz
  • Registratie: November 2004
  • Laatst online: 08-06-2025

mazz

Topicstarter
EDIT:

Volgens mij heb ik het al

iptables -P OUTPUT DROP
iptables -P INPUT DROP

[ Voor 94% gewijzigd door mazz op 27-08-2009 10:35 ]

20 jaar, en wat had ik bereikt?

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq