iptables strano comporatamento

[jasx78]

Ciao a tutti ,
ho uno stranissimo problema con iptables :

ecco sotto specificato lo script :

*filter
#POLICY DEFAULT
-P INPUT DROP

-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT

##WEB
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
##FTPD
-A INPUT -i eth0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i etho -p tcp -s xx.xxx.xx.xx --dport 21 -j ACCEPT


##SSHD
-A INPUT -i eth0 -p tcp -s xx.xxx.xx.xx --dport 22 -j ACCEPT


##CLIENT DNS
-A INPUT -i eth0 -p udp -s xx.xxx.xx.xx --sport 53 -j ACCEPT


questo script gira su un server web e dovrebbe molto semplicemente permettere a tutti di accedere alle porta 80 e solo ad un ip fidato di accedere alla porta 22 e 21 su eth0. mentre eth1 (ip privato) è sempre fidata.

invece con un semplice nmap si riesco a visualizzare tutte le porte aperte e questo da qualsiasi host.
ed è lo stesso se provo a fare un ping da host non fidati.

ho provato a loggare tutti i pacchetti ma dei ping o degli accessi sulla porta 22 non si trova traccia , logga correttamente solo i pacchetti udp.

è possibile reinstallare i componenti di iptables senza dover ricompilare il kernel ?

questo su fedora core 3 kernel 2.6.9-1.681_FC3smp

[cacao74]

# /sbin/service iptables restart
a patto che lo script che hai modificato/creato
venga effettivamente letto dal servizio

ciao

[jasx78]

che venga letto ne sono sicuro se faccio iptables -L vedo tutte le policy applicate.

[cacao74]

ok.
ti faccio una domanda che ti apparirà stupidina:
può essere che eth0 ed eth1 siano da invertire?
non so se rendo l'idea...
prova, se ti è possibile ad annullare tutte le regole e
creare il firewall con singoli comandi dalla shell.
dopo ogni comando aggiunto verifichi la funzionalità.

ciao

[jasx78]

in effetti non mi rimane che fare un prova del genere per il resto che eth0 sia l'ip pubblico ed eth1 quello privato ne sono sicuro (ifconfig subito:Pp) anche perche è una prassi che uso da tempo.

[jasx78]

Ho fatto varie prove ormai sono sicuro iptables non riesce a filtrare i pacchetti sulla porta eth0.

ho fatto una semplice prova loggando tutto cio che passa su eth1 ed eth0 per eth1 non ci sono problemi , mentre per eth0 non logga quasi niente;(

suggerimenti in merito ?

[ll_skorpion_ll]

Aggiungi:
-A INPUT -p tcp -m tcp --dport 1:65535 --tcp-flags SYN,RST,ACK SYN -j DROP
Questo manderà in crisi l'namp che lanciato in modalità -sS vedrà tutte le porte aperte. L'nmap vedrà cmq, lanciato in -sF le porte realmente aperte, nel tuo caso l'80.

cmq sarebbe buono aggiungere anche questa direttiva

[cacao74]

sinceramente non riesco a farmi un quadro della situazione.
possibile che ci sia qualche impostazione di SELinux che ti crea problemi?
hai provato annullando tutto ed inserendo le regole a manella?

ciao

[ll_skorpion_ll]

E' normale che iptables logghi a schermo oltre che nei file di log? Lo fa con tutti i log infischiandosene del livello. Devo mettere qualkosa nel syslog?
Debian Sarge 2.4.27

[jasx78]

Non so nemmeno come onestamente ma il problema sembra risolto!!! adesso funziona tutto correttamente.