Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

iptables не блокирует, даже когда должен

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Анализ текущих правил
  4. 2. Объяснение поведения блокировки
  5. 3. Устранение неполадок
  6. Заключение

Вопрос или проблема

Это моя цепочка INPUT:

Цепочка INPUT (политика ACCEPT 0 пакетов, 0 байт)
номер   pkts bytes цель      протокол опция in     out     источник              назначение         
1        0     0 ACCEPT     6    --  *      *       96.102.0.0/16        0.0.0.0/0            tcp dpt:9001
2        0     0 ACCEPT     6    --  *      *       37.20.40.50          0.0.0.0/0            tcp dpt:22
3        0     0 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9001

Проблема в том, что я все еще могу получить доступ к порту 9001 в браузере (HTTPS), даже из другой подсети, чем 96.102.0.0/16. Я пытался перезапустить сервер, это не помогло.

Я понимаю, что политика INPUT настроена на разрешение, поэтому все, что не соответствует ни одному правилу, будет разрешено, но этот сценарий должен обрабатываться третьим правилом, которое должно соответствовать всему на порту 9001.

Ответ или решение

Проблема, с которой вы столкнулись, связана с конфигурацией правил в iptables, а именно с тем, что ожидалось блокирование трафика на порт 9001, но доступ к нему всё равно обеспечивается. Давайте подробно разберем вашу ситуацию с учетом всех деталей предоставленной конфигурации и возможных причин, по которым данный блок может не сработать.

1. Анализ текущих правил

Исходя из ваших правил в цепочке INPUT:

  1. Правило 1: Разрешает трафик на порт 9001 с IP адресов в диапазоне 96.102.0.0/16.
  2. Правило 2: Разрешает SSH трафик с конкретного IP адреса (37.20.40.50).
  3. Правило 3: Блокирует любой трафик на порт 9001 с любого другого источника.

Ваша конечная политика (policy) установлена на ACCEPT, что подразумевает прием всего остального трафика, который не был явно разрешён или заблокирован. Это важно, так как фактически это означает, что любое соединение, не попадающее под правило 1 или 2, будет разрешено. Это уже указывает на потенциальную причину проблемы.

2. Объяснение поведения блокировки

Согласно приведенным вами правилам, трафик на порт 9001 будет блокироваться только в том случае, если IP адрес источника не находится в диапазоне 96.102.0.0/16. Однако, если вы получаете доступ к этому порту с IP адреса, не входящего в указанный диапазон, возможно, правила не срабатывают из-за одной или нескольких следующих причин:

  • Ошибки в конфигурации iptables: Возможно, правила не были применены корректно,что подтвердить можно с помощью iptables -L -n -v. Проверьте, нет ли дублирования правил или других правил, влияющих на эту цепочку. Если вы используете систему с несколькими цепочками (например, FORWARD), стоит убедиться, что они не вступают в конфликт.

  • Различия в правилах для других интерфейсов: Убедитесь, что не существует дополнительных правил для других интерфейсов (или цепочек), которые также могут позволять трафик на порт 9001.

  • Кэширование и/или NAT: Если используется Network Address Translation (NAT) через модуль iptables, то иногда пакеты могут быть отфильтрованы не так, как ожидается. Проверьте ваши правила NAT.

  • Службы, работающие на порту 9001: Убедитесь, что приложение или служба, прослушивающая порт 9001, корректно обрабатывает входящие соединения и не связан с дополнительными аспектами конфигурации сети, такими как локальные брандмауэры (firewall) или настройки приложений.

3. Устранение неполадок

Для решения вашей проблемы вы можете предпринять следующие шаги:

  1. Просмотр всех правил iptables: Используйте команду iptables -L -n -v для полного отображения правил, включая счетчики пакетов и байтов. Это поможет вам увидеть, как обрабатываются пакеты.

  2. Временное изменение политики INPUT: Попробуйте установить политику DROP для INPUT, чтобы проверить, блокируется ли весь входящий трафик, и в дальнейшем добавляйте разрешения для необходимых служб по одному.

  3. Логи iptables: Добавьте правило для логирования, чтобы отслеживать, какие пакеты проходят и блокируются. Например:

    iptables -A INPUT -p tcp --dport 9001 -j LOG --log-prefix "Blocked 9001: "

  4. Использование tcpdump или аналогичных инструментов: Запустите tcpdump на интерфейсе, чтобы просмотреть поступающий трафик и убедиться, что соединения действительно проходят через iptables.

  5. Проверка наличия других брандмауэров: Убедитесь, что на сервере не установлены другие брандмауэры (например, ufw или firewalld), которые могут перезаписывать или игнорировать правила iptables.

Заключение

Использование iptables требует внимательности и точности при настройках. Ваша конкретная ситуация предполагает, что правила принимают не тот порядок, который вы ожидали. Убедитесь, что вы понимаете, как работает каждая часть вашей конфигурации, и воспользуйтесь указанными шагами дляورها исключения и понимания проблемы. Обратите внимание на важность тестирования и мониторинга правил, так как это позволит избежать неприятных ситуаций в дальнейшем.

firewall iptables nftables
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности