English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Lỗi khi cấu hình Iptables  XML
  [Question]   Lỗi khi cấu hình Iptables 17/04/2007 03:55:08 (+0700) | #1 | 54106
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Các Pro giúp mình với.
Mình thêm 2 dòng này vào Iptables:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

- Mình sử dụng echo-request cho INPUT và echo-reply cho OUTPUT như 2 dòng trên có đúng ko?

- Khi mình add 2 dòng trên vào Iptables và restart thì báo lỗi ở dòng:
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- Khi đảo ngược OUTPUT, INPUT ở 2 dòng trên thi nó báo lỗi ở dòng set la OUTPUT.

Các Pro chỉ mình sai ở chỗ nào với.
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 17/04/2007 05:21:30 (+0700) | #2 | 54122
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

cu_khoai wrote:
Các Pro giúp mình với.
Mình thêm 2 dòng này vào Iptables:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
 

Hai dòng này có gì sai đâu?

cu_khoai wrote:

- Mình sử dụng echo-request cho INPUT và echo-reply cho OUTPUT như 2 dòng trên có đúng ko?
 

Đúng.

cu_khoai wrote:

- Khi mình add 2 dòng trên vào Iptables và restart thì báo lỗi ở dòng:
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
 

Báo lỗi thế nào?

cu_khoai wrote:

- Khi đảo ngược OUTPUT, INPUT ở 2 dòng trên thi nó báo lỗi ở dòng set la OUTPUT.

Các Pro chỉ mình sai ở chỗ nào với.
 

Tại sao phải đảo ngược? echo-request cho đường vào, echo-reply cho đường ra thì đảo ngược hoàn toàn không logic.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 17/04/2007 05:33:59 (+0700) | #3 | 54127
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Chào anh conmale
- Khi em thêm 2 dòng
ptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- Rồi restart thi báo lỗi
# service iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter [ OK ]
Unloading iptables modules: [ OK ]
Applying iptables firewall rules: iptables-restore: line 20 failed
[FAILED]
-Dòng 20 là dòng : iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

- Em dùng vmware làm linux ảo. Anh xem lại dùm em.
Cảm ơn anh!
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 17/04/2007 07:11:16 (+0700) | #4 | 54143
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

cu_khoai wrote:
Chào anh conmale
- Khi em thêm 2 dòng
ptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- Rồi restart thi báo lỗi
# service iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter [ OK ]
Unloading iptables modules: [ OK ]
 

Nếu dòng màu đỏ có ở trên (policy set to ACCEPT) thì 2 dòng trên hoàn toàn vô tác dụng vì tất cả các packets đi vào sẽ được tiếp nhận.

cu_khoai wrote:

Applying iptables firewall rules: iptables-restore: line 20 failed
[FAILED]
-Dòng 20 là dòng : iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

- Em dùng vmware làm linux ảo. Anh xem lại dùm em.
Cảm ơn anh!
 

Bồ dùng công cụ gì để set rule cho firewall vậy? Bồ dùng Linux distribution nào?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 17/04/2007 23:28:23 (+0700) | #5 | 54275
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Anh conmale!
Cảm ơn anh đã wan tâm. Em mới tìm hiểu về Linux, nên còn ngu lắm..hihihi..mong anh chỉ giáo.
Em xài FC release 3, vào iptables em sửa rule. Dưới đây la toàn bộ file iptables của em mà nó bị lỗi:

# Firewall configuration written by redhat-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
# -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5432 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-OUTPUT -p icmp --icmp-type echo-reply -j DROP
-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

+ Em thêm dòng: -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP , thì sẽ chặn được ping tới và ping ra ngoài. Nhưng chẳng hạn em muốn ping tới hệ thống thì được, nhưng ko cho ping ra ngoài, nên em đã add 2 dòng sau:

-A RH-Firewall-1-OUTPUT -p icmp --icmp-type echo-reply -j DROP
-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -j ACCEPT

+ Khi add rồi restart thi bị lỗi ở dòng: -A RH-Firewall-1-OUTPUT -p icmp --icmp-type echo-reply -j DROP

# service iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter [ OK ]
Unloading iptables modules: [ OK ]
Applying iptables firewall rules: iptables-restore: line 22 failed
[FAILED]


+ Anh noi dòng dưới dây làm sao?, em chưa hiểu
Setting chains to policy ACCEPT: filter [ OK ]


Cảm ơn anh Conmale nhiều!
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 18/04/2007 00:56:19 (+0700) | #6 | 54283
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Chào cu_khoai,

Bồ xem lại có cái nào là RH-Firewall-1-OUTPUT hay không smilie

cu_khoai wrote:
Nhưng chẳng hạn em muốn ping tới hệ thống thì được, nhưng ko cho ping ra ngoài, nên em đã add 2 dòng sau:  


Bồ muốn trả lời ping, nhưng không cho echo-request ra ngoài thì bồ chỉ cần:
Code:
#iptables -A OUTPUT -p icmp -icmp-type echo-request -j DROP

để drop các echo request đi ra, và Code:
#iptables -A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

để chấp nhận echo-request và trả lời.

khoai không có chơi với iptables nhiều lắm, nhưng nhìn cấu hình kiểu này có vẻ rắc rối quá. INPUT và FORWARD thì cho policy là ACCEPT rồi chuyển qua một chain là RH-Firewall-1-INPUT để xử lý, còn lại OUTPUT thì lại không chuyển qua một chain tương tự khiến người ta dễ bị lầm.

Và, interface lo không phải lúc nào cũng ACCEPT. Tốt nhất để policy là DROP, sau đó chỉ ACCEPT những connection nào cần thiết mà thôi.

khoai
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 18/04/2007 01:43:06 (+0700) | #7 | 54293
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Chào anh Khoai! Anh cung họ khoai hả ...hihihi...

- Có phải anh nói viết code: RH-Firewall-1-OUTPUT, là sai :?smilie

- Em đã hiểu 3 dòng code cần add để tạo rule như anh nói, nhưng khi em add rồi restart iptables là nó thông báo lỗi ở bất cứ dòng code nào có chain OUTPUT. smilie( . Pó tay em roài. Hay là em xài FC3 chung với Win bằng vmware nên FC nó ko được như...thật.

- đoạn code:
*************
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
# -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
****************
Là nó đã có sẵn trong iptables khi em install FC3.
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 18/04/2007 02:11:24 (+0700) | #8 | 54300
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Chào các anh!
Không phải chỉ những rule cho ping mà em hỏi các anh là bị error, mà em thực hành set các rule khác cũng bị, cứ dòng nào có OUTPUT là error. pó tay
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 18/04/2007 23:01:58 (+0700) | #9 | 54469
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Hèm, lý do cụ thể là không có cái chain nào tên là RH-Firewall-1-OUTPUT cả. Cụ thể, thay vì Code:
-A RH-Firewall-1-OUTPUT -p icmp --icmp-type echo-reply -j DROP
bồ hãy thay đoạn trên bằng Code:
-A OUTPUT -p icmp --icmp-type echo-reply -j DROP


Và, không cần add rule -j ALLOW cho OUPUT vì Policy của OUTPUT đã là ALLOW.

khoai
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 19/04/2007 00:39:18 (+0700) | #10 | 54482
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]

Mr.Khoai wrote:
Hèm, lý do cụ thể là không có cái chain nào tên là RH-Firewall-1-OUTPUT cả. Cụ thể, thay vì Code:
-A RH-Firewall-1-OUTPUT -p icmp --icmp-type echo-reply -j DROP
bồ hãy thay đoạn trên bằng Code:
-A OUTPUT -p icmp --icmp-type echo-reply -j DROP

 

- Em hiểu ý của anh, tên chain đó FC nó định nghĩa như vậy cũng dài dòng wa'. Nhưng em thay đổi như anh thì bất cư rule nào em add vào bằng chain OUTPUT đều bị error. Em nghĩ hay la em xài vmware nên FC ko dùng được chain OUTPUT ?????

Mr.Khoai wrote:

Và, không cần add rule -j ALLOW cho OUPUT vì Policy của OUTPUT đã là ALLOW.
 

- Em chưa hiểu được ý này của anh.
Cảm ơn anh Khoai đã wan tâm.
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 19/04/2007 04:10:08 (+0700) | #11 | 54520
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
smilie) Em lam được roài. làm theo kiểu của anh Khoai, em bỏ hết định nghĩa rule RH-Firewall-1-OUTPUT của FC.
cảm ơn các Pro.
Thân!
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 19/04/2007 21:44:49 (+0700) | #12 | 54630
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Case 1 - iptables và máy đơn
/hvaonline/posts/list/105.html

Case 2 - iptables và máy đơn
/hvaonline/posts/list/154.html

Anh conmale có viết 2 bài viết về iptables, bro có thể đọc qua. Trước khi đọc Case 2 nên đọc Case 1 .

1. IF=`/sbin/route | grep -i 'default' | awk '{print$8}'`
2. IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
3. IPT="/usr/local/sbin/iptables"
4. NET="any/0"
5. DNS="xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy.yyy"
6. SERV_TCP="22 25 80 443 110"
7. SERV_UDP="53 123"
8. HI_PORTS="1024:65535"

Tham số như IF=cái gì đó nó là Prefix (số màu đầu) mục đích của nó làm ngắn gọn đoạn script sao cho dể nhìn và tránh ... rối loạn .
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Lỗi khi cấu hình Iptables 20/04/2007 00:41:52 (+0700) | #13 | 54659
cu_khoai
Member
[Minus]    0    [Plus]
Joined: 08/01/2007 18:55:20
Messages: 81
Offline
[Profile] [PM]
Cả ơn anh Golden Autumn nhì nhé. Xem xong cases mở mang thêm 1 số điều. hehehe
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 12/03/2008 03:57:13 (+0700) | #14 | 118963
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]

Mr.Khoai wrote:
Và, interface lo không phải lúc nào cũng ACCEPT. Tốt nhất để policy là DROP, sau đó chỉ ACCEPT những connection nào cần thiết mà thôi.  

Hi khoai!
Em giải thích thêm tí, cái này anh chưa hiểu rõ mấy.
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 12/03/2008 05:17:46 (+0700) | #15 | 118980
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

pnco wrote:

Mr.Khoai wrote:
Và, interface lo không phải lúc nào cũng ACCEPT. Tốt nhất để policy là DROP, sau đó chỉ ACCEPT những connection nào cần thiết mà thôi.  

Hi khoai!
Em giải thích thêm tí, cái này anh chưa hiểu rõ mấy. 

Chào anh pnco,

Theo em, có lẽ ý của Mr.Khoai là "không nhất thiết lúc nào cũng phải accept all traffic trên interface lo", nó chỉ cần thiết khi trên máy chạy iptables, cũng chạy một dịch vụ nào đó yêu cầu loopback interface phải được phép tiếp nhận và chuyển packets đi (như squid cache, ...)
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 12/03/2008 21:23:53 (+0700) | #16 | 119081
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
anh pnco,

Anh quanta đã giải thích ý của em rồi. Thật ra thông thường thì lo được xem là trusted. Tuy nhiên, cá nhân em đã bị trường hợp này:

- Em có một sshd server, và có vài tài khoản dành cho một số bạn bè.

- Em không chơi blacklist/whitelist mà chỉ limit ssh connection trên eth0 là 3 cái mỗi phút. Ai connect nhiều hơn thì phải chờ --> Điều này làm giảm hiệu quả của sshd brute force rất nhiều

- Có một tài khoản đã bị "lộ" password (đến giờ vẫn chưa biết vì sao) nhưng username này đã tiến hành brute force các tài khoản khác + root account dùng lo, vượt qua hết các limit trên iptables cho eth0.

Từ đó về sau em không dám trust cái lo nữa, nhất là khi server được publish ra ngoài. Việc siết chặt interface loopback có lẽ là quá paranoid, nhưng đôi khi bỏ lỏng thì không ổn.

khoai
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 12/03/2008 21:48:05 (+0700) | #17 | 119083
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Mr.Khoai wrote:
...

- Có một tài khoản đã bị "lộ" password (đến giờ vẫn chưa biết vì sao) nhưng username này đã tiến hành brute force các tài khoản khác + root account dùng lo, vượt qua hết các limit trên iptables cho eth0.
....
 

Tức là kẻ ấy đã log vào server thành công rồi mới brute hả em?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 13/03/2008 15:45:58 (+0700) | #18 | 119207
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]

conmale wrote:

Mr.Khoai wrote:
...

- Có một tài khoản đã bị "lộ" password (đến giờ vẫn chưa biết vì sao) nhưng username này đã tiến hành brute force các tài khoản khác + root account dùng lo, vượt qua hết các limit trên iptables cho eth0.
....
 

Tức là kẻ ấy đã log vào server thành công rồi mới brute hả em? 

Dạ đúng anh. Kẻ đó dùng account và password thích hợp để log in vào server, sau đó scp vài tools lên server và tiến hành tấn công localhost. Vì nhiều lý do, em không tiện hỏi han đứa bạn có account đó, mà chỉ assume là account đó bị nhân nhượng thôi anh.

khoai
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 13/03/2008 20:31:06 (+0700) | #19 | 119216
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Mr.Khoai wrote:

conmale wrote:

Mr.Khoai wrote:
...

- Có một tài khoản đã bị "lộ" password (đến giờ vẫn chưa biết vì sao) nhưng username này đã tiến hành brute force các tài khoản khác + root account dùng lo, vượt qua hết các limit trên iptables cho eth0.
....
 

Tức là kẻ ấy đã log vào server thành công rồi mới brute hả em? 

Dạ đúng anh. Kẻ đó dùng account và password thích hợp để log in vào server, sau đó scp vài tools lên server và tiến hành tấn công localhost. Vì nhiều lý do, em không tiện hỏi han đứa bạn có account đó, mà chỉ assume là account đó bị nhân nhượng thôi anh.

khoai 


Ùm... khá lý thú. Trường hợp này khá hiếm bởi vì khi đã có shell (dù ở dạng lower privilege) thì có nhiều khả năng escalate. Brute force services xuyên qua lo là một cách khá sáng tạo nhưng brute force luôn luôn là kế sách cuối cùng vì nó rất chậm và rất... "ồn" smilie

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 13/03/2008 22:47:32 (+0700) | #20 | 119228
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]

Mr.Khoai wrote:
anh pnco,

Anh quanta đã giải thích ý của em rồi. Thật ra thông thường thì lo được xem là trusted. Tuy nhiên, cá nhân em đã bị trường hợp này:

- Em có một sshd server, và có vài tài khoản dành cho một số bạn bè.

- Em không chơi blacklist/whitelist mà chỉ limit ssh connection trên eth0 là 3 cái mỗi phút. Ai connect nhiều hơn thì phải chờ --> Điều này làm giảm hiệu quả của sshd brute force rất nhiều

- Có một tài khoản đã bị "lộ" password (đến giờ vẫn chưa biết vì sao) nhưng username này đã tiến hành brute force các tài khoản khác + root account dùng lo, vượt qua hết các limit trên iptables cho eth0.

Từ đó về sau em không dám trust cái lo nữa, nhất là khi server được publish ra ngoài. Việc siết chặt interface loopback có lẽ là quá paranoid, nhưng đôi khi bỏ lỏng thì không ổn.

khoai 

Thì ra là vậy. Thanks em đã giải thích.
[Up] [Print Copy]
  [Question]   Re: Lỗi khi cấu hình Iptables 14/03/2008 23:06:01 (+0700) | #21 | 119323
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
anh conmale,

Đúng rồi anh, log file grow rất nhanh, và các entry kiểu localhost thì rất nổi bật, liếc sơ là thấy ngay không bị lạc đâu hết.

khoai
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|