Re: iptables mozilla
Было дело, что Mon, 19 Apr 2004 12:27:01 +0400 Gerasimov писал(а): 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. не правда Ваша - таблес умеет понимать от какой программы пришел пакет. поясните примером, плз., в данном случае: пакет от mozilla -- Best regards, Yury A. Yurevich Registered Linux User #276311 Debian 3.0r1 Woody kernel 2.6.5
Re: iptables mozilla
On Fri, 23 Apr 2004 20:09:18 +0700 Yury A. Yurevich [EMAIL PROTECTED] wrote: Было дело, что Mon, 19 Apr 2004 12:27:01 +0400 Gerasimov писал(а): 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. не правда Ваша - таблес умеет понимать от какой программы пришел пакет. поясните примером, плз., в данном случае: пакет от mozilla листайте (вдумчиво читайте) документацию к iptables - у меня нет времени искать за вас. есть модуль (название не помню) для IPTABLES который умеет понимать какой из локальных процессов посылает пакет. с помощью этого модуля можно построить соответсвующее правило. но ИМХО этот путь сложен и неверен. вот наводка http://www.spinics.net/lists/lartc/msg12234.html Вам уже дали верные советы , один из них - разрешить loopback трафик. -- Best regards, Yury A. Yurevich Registered Linux User #276311 Debian 3.0r1 Woody kernel 2.6.5 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- -- Dmitry Gerasimov matrix AT podlipki DOT ru icq: 26277841 jid: q2digger AT jabber.ru
Re: iptables mozilla
On Fri, 23 Apr 2004 20:09:18 +0700 Yury A. Yurevich [EMAIL PROTECTED] wrote: Было дело, что Mon, 19 Apr 2004 12:27:01 +0400 Gerasimov писал(а): 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. не правда Ваша - таблес умеет понимать от какой программы пришел пакет. поясните примером, плз., в данном случае: пакет от mozilla хинт: --- выдержка из руководства по IPTABLES 6.4.3.5. Критерий Owner Расширение owner предназначено для проверки владельца пакета. Изначально данное расширение было написано как пример демонстрации возможностей iptables. Допускается использовать этот критерий только в цепочке OUTPUT. Такое ограничение наложено потому, что на сегодняшний день нет реального механизма передачи информации о владельце по сети. Справедливости ради следует отметить, что для некоторых пакетов невозможно определить владельца в этой цепочке. К такого рода пакетам относятся различные ICMP responses. Поэтому не следует применять этот критерий к ICMP responses пакетам. --- а вот и работающее правило --- начало сценария #!/bin/bash # # pid-owner.txt - Example rule on how the pid-owner match could be used. # # Copyright (C) 2001 Oskar Andreasson lt;bluefluxATkoffeinDOTnetgt; # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; version 2 of the License. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program or from the site that you downloaded it # from; if not, write to the Free Software Foundation, Inc., 59 Temple # Place, Suite 330, Boston, MA 02111-1307 USA # PID=`ps aux |grep mozilla |head -n 1 |cut -b 10-14` iptables -A OUTPUT -p TCP -m owner --pid-owner $PID -j ACCEPT --- окончание сценария --- p.s. я этот путь для вашей цели верным не считаю. есть масса более приятных и умных решении. ИМХО. -- Dmitry Gerasimov matrix AT podlipki DOT ru icq: 26277841 jid: q2digger AT jabber.ru
Re: iptables mozilla
Привет Nicholas wrote: Столкнулся с проблемой Мозилла не может найти локал хост и виснет если я пробую что либо написать (в адресной строке, гугле, письме - везде) При этом ходить по страничким можно. Выяснилось что связано это с включением iptables и dropом по умолчаннию. Раз 5 я разрешал все и смотрел логи, разрешал все что есть в логах. Получился очень длинный список правил но проблема не решалась. Далее в логах было замечено ...SPT=32871 DPT=80 WINDOW=32767... и появилось предположение что адрес нужен каждый раз разный завязанный на window. Вопросы: 1 Правильно ли мое предположение. 2 Какое правило надо добавить чтоб Мозилла работала при drop для всего кроме. iptables -A INPUT -i lo -j ACCEPT iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Re: iptables mozilla
On Fri, Apr 16, 2004 at 09:46:24PM +0400, Nicholas wrote: Честно говоря я пока не понял за чем мне icmp... Чтобы Path MTU discovery работал: http://alive.znep.com/~marcs/mtu/
Re: iptables mozilla
Было дело, что Fri, 16 Apr 2004 21:46:24 +0400 Nicholas писал(а): Vasiliy 'Druid' Misharev wrote: On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой source port естественно разный. странно что оно у тебя вообще с таким подходом работает. я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё торчит, и разрешаю то что надо. исходящие разрешаю все. Честно говоря я пока не понял за чем мне icmp... Что касаемо идеи дать всем локальным приложениям полный Accept - то я только что из мира Windows где фаерйвол использовался скорее для того чтоб не давать всяким Ос, Медиаплеерам и др. коммерческим программам ходить к себе на сайты без разрешения. Так что выработалась привычка давать разрешенния конкретным приложениям на определенные порты, хотелось бы продолжить традицию. AFAIK, не получиться. Традиции win в linux особо не приживаются. Я могу ошибаться (поправьте, отцы), но 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. 2) порты выше 32000 используются приложениями-клиентами для связи с удаленной машиной. Каждый раз предугадать какой порт откроет приложения нельзя. Т.о. ставя drop на все исходящие, обламываем не только мурзилку-тормозилку, но и все приложения в целом. -- Best regards, Yury A. Yurevich Registered Linux User #276311 Debian 3.0r1 Woody kernel 2.6.3
Re: iptables mozilla
On Mon, 19 Apr 2004 14:16:07 +0700 Yury A. Yurevich [EMAIL PROTECTED] wrote: Было дело, что Fri, 16 Apr 2004 21:46:24 +0400 Nicholas писал(а): Vasiliy 'Druid' Misharev wrote: On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой source port естественно разный. странно что оно у тебя вообще с таким подходом работает. я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё торчит, и разрешаю то что надо. исходящие разрешаю все. Честно говоря я пока не понял за чем мне icmp... Что касаемо идеи дать всем локальным приложениям полный Accept - то я только что из мира Windows где фаерйвол использовался скорее для того чтоб не давать всяким Ос, Медиаплеерам и др. коммерческим программам ходить к себе на сайты без разрешения. Так что выработалась привычка давать разрешенния конкретным приложениям на определенные порты, хотелось бы продолжить традицию. AFAIK, не получиться. Традиции win в linux особо не приживаются. Я могу ошибаться (поправьте, отцы), но 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. не правда Ваша - таблес умеет понимать от какой программы пришел пакет. 2) порты выше 32000 используются приложениями-клиентами для связи с тоже не _совсем_ верно. привытными считаются порты 1-1024. все что выше (1025-65535) для приложений. удаленной машиной. Каждый раз предугадать какой порт откроет приложения нельзя. Т.о. ставя drop на все исходящие, обламываем не только мурзилку-тормозилку, но и все приложения в целом. вообще отладка правил iptables - это очень серьезная тема - но в инете слава Богу, хватает готовых решений именно для домашних машин, но уж если хочется самому это делать - tcpdump в руки. -- Best regards, Yury A. Yurevich Registered Linux User #276311 Debian 3.0r1 Woody kernel 2.6.3 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables mozilla
On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: source port естественно разный каждый раз. а что у тебя в iptebles-то написано? Правила задаются скриптом: #!/bin/sh IPTABLES=/sbin/iptables echo 1 /proc/sys/net/ipv4/ip_forward $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -p UDP --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -p UDP --dport 53 -j ACCEPT и так далее по разным дресам (udp 61, 66-68, 137-139 и др, tcp 25, 53, 80, 110, 119...) сейвятся и лоудятся автоматом. Я уже понял что так не правильно, а правильно смотреть кто инициатор - изучаю этот вопрос. Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой source port естественно разный. странно что оно у тебя вообще с таким подходом работает. я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё торчит, и разрешаю то что надо. исходящие разрешаю все. если тебе надо что-то более навороченное, то смотреть в сторону owner или state match -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
Re: iptables mozilla
Evening, Nicholas. Nicholas [EMAIL PROTECTED] 20:28 15/4/2004 wrote: N Vasiliy 'Druid' Misharev wrote: On Wed, Apr 14, 2004 at 07:18:30PM +0400, Nicholas wrote: Далее в логах было замечено ...SPT=32871 DPT=80 WINDOW=32767... и появилось предположение что адрес нужен каждый раз разный завязанный на window. source port естественно разный каждый раз. а что у тебя в iptebles-то написано? N Правила задаются скриптом: [skip] N и так далее по разным дресам (udp 61, 66-68, 137-139 и др, tcp 25, 53, N 80, 110, 119...) сейвятся и лоудятся автоматом. Я уже понял что так не N правильно, а правильно смотреть кто инициатор - изучаю этот вопрос. N Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой N source port естественно разный. Мда... Может, лучше сначала потренироваться на кошках? Ставь какую-то user-friendly обертку вокруг языка iptables (мне нравиться firehol), пиши правила на более высокоуровневом языке описания правил. Пример: interface eth0 lan dst 172.20.66.65/32 172.20.66.255 policy reject server ident reject with tcp-reset server dns accept server ftp http https accept client all accept Дальше смотри, в какие правила iptables это компилируется, и либо дорабатывай свои скрипты, либо продолжай пользоватся обертками (что, как по мне, удобнее в 100 раз). -- Dmitry Astapov //ADEpt GPG KeyID/fprint: F5D7639D/CA36 E6C4 815D 434D 0498 2B08 7867 4860 F5D7 639D
Re: iptables mozilla
Vasiliy 'Druid' Misharev wrote: On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой source port естественно разный. странно что оно у тебя вообще с таким подходом работает. я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё торчит, и разрешаю то что надо. исходящие разрешаю все. Честно говоря я пока не понял за чем мне icmp... Что касаемо идеи дать всем локальным приложениям полный Accept - то я только что из мира Windows где фаерйвол использовался скорее для того чтоб не давать всяким Ос, Медиаплеерам и др. коммерческим программам ходить к себе на сайты без разрешения. Так что выработалась привычка давать разрешенния конкретным приложениям на определенные порты, хотелось бы продолжить традицию. если тебе надо что-то более навороченное, то смотреть в сторону owner или state match Спасибо. Буду смотреть. -- С уважением Николай [EMAIL PROTECTED]
Re: iptables mozilla
On Wed, Apr 14, 2004 at 07:18:30PM +0400, Nicholas wrote: Выяснилось что связано это с включением iptables и dropом по умолчаннию. Раз 5 я разрешал все и смотрел логи, разрешал все что есть в логах. Получился очень длинный список правил но проблема не решалась. Далее в логах было замечено ...SPT=32871 DPT=80 WINDOW=32767... и появилось предположение что адрес нужен каждый раз разный завязанный на window. source port естественно разный каждый раз. а что у тебя в iptebles-то написано? -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
Re: iptables mozilla
Vasiliy 'Druid' Misharev wrote: On Wed, Apr 14, 2004 at 07:18:30PM +0400, Nicholas wrote: Далее в логах было замечено ...SPT=32871 DPT=80 WINDOW=32767... и появилось предположение что адрес нужен каждый раз разный завязанный на window. source port естественно разный каждый раз. а что у тебя в iptebles-то написано? Правила задаются скриптом: #!/bin/sh IPTABLES=/sbin/iptables echo 1 /proc/sys/net/ipv4/ip_forward $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -p UDP --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -p UDP --dport 53 -j ACCEPT и так далее по разным дресам (udp 61, 66-68, 137-139 и др, tcp 25, 53, 80, 110, 119...) сейвятся и лоудятся автоматом. Я уже понял что так не правильно, а правильно смотреть кто инициатор - изучаю этот вопрос. Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой source port естественно разный. -- С уважением Николай [EMAIL PROTECTED]