Ubuntu 9.04, Firestarter жалуется даже за NAT-роутером

894
Tomasz Zieliński

Я за роутером. В конфиге роутера я заблокировал:

  • все (входящий и исходящий) UDP
  • входящий ICMP

Локальные iptables настраиваются с помощью мастера Firestarter:

  • заблокировать все входящие соединения
  • разрешить все исходящие соединения
  • фильтр ICMP кроме пинга
  • блокировать трансляцию с внешнего сетевого слова

Теперь Firestarter по-прежнему жалуется на заблокированные соединения TCP и ICMP с моим внутренним IP (192.168.0. *) Через разные порты. Нет никаких жалоб UDP, но только потому, что маршрутизатор блокирует их все. Раньше, когда входящие (но не исходящие) UDP-блокировались, я также получал тонны заблокированных UDP-соединений (особенно с запуском Skype).

Я не понимаю, как это возможно, что Firestarter жалуется на заблокированные соединения TCP. Насколько я понимаю, за маршрутизатором я не доступен из внешнего мира (из-за трансляции NAT), и маршрутизатор пропускает только те входящие пакеты, которые соответствуют исходящим пакетам. Теперь iptables должен работать таким же образом - он должен принимать входящие ответные пакеты, совпадающие с прежними исходящими. Таким образом, если TCP-пакет удается получить с моего компьютера на внешний сервер, то ответ никогда не должен блокироваться.

Кроме того, я не понимаю, как ICMP-пакеты могут проходить через маршрутизатор и зависать на моих iptables - все они должны быть заблокированы в маршрутизаторе (обратите внимание, однако, что все ICMP, которые приходят на мои iptables, находятся на порту 80, возможно, это ключ)

Может ли кто-нибудь указать мне правильное направление относительно того, как решить эти проблемы (если они есть, возможно, я не информирован).

0

1 ответ на вопрос

0
BillThor

ICMP необходим для правильных операций IP, не блокируйте их, хотя вы можете блокировать эхо-запросы ICMP. Нет порта ICMP 80, но вы, вероятно, получаете сообщения о недоступности для различных веб-сайтов на порту 80. Сообщения ICMP не будут приводить к сбоям в ваших iptables.

У вас должен быть запущен ntp, и для этого потребуется открыть порт 123 по UDP. DNS на порту 53 также должен быть открыт по UDP и TCP.

Если вы работаете в Skype, вы должны разрешить исходящие UDP и TCP через временные порты (от 32768 до 61000) в Ubuntu, а также некоторые другие. Вам также необходимо разрешить UPD и TCP-соединение для порта, который использует Skype. Смотрите мой пост по брандмауэру Skype .

Вы должны ожидать некоторого трафика на различных портах от хостов внутри вашего брандмауэра. Вы также будете получать пакеты из Интернета, если вы используете IP-адрес, обозначенный как DMZ на вашем маршрутизаторе / брандмауэре. Брандмауэр маршрутизатора также должен пересылать пакеты по соответствующим портам для таких протоколов, как FTP.

Это не совсем отвечает на мой вопрос, но все равно спасибо. Основная часть того, о чем я спрашиваю, заключается в том, как Firestarter может жаловаться на соединения, которые должны быть сброшены моим маршрутизатором. Tomasz Zieliński 14 лет назад 0
Если ваш IP-адрес назначен DMZ, маршрутизатор вряд ли что-либо заблокирует. BillThor 14 лет назад 0
В зависимости от маршрутизатора и его конфигурации вы можете увидеть трафик с него. Если адреса источника и получателя совпадают для первых трех октетов, они не поступают из Интернета. BillThor 14 лет назад 0
DMZ отключен. То есть вы говорите, что сам маршрутизатор может вызывать некоторый трафик? Есть ли какая-то причина, почему, например, Skype вызывает такие подключения гораздо чаще, чем когда Skype отключен? Tomasz Zieliński 14 лет назад 0
Различные службы, такие как общие папки Windows, протоколы маршрутизации и другие, используют периодические широковещательные сообщения для объявления своего присутствия и обнаружения других компьютеров. Если какой-либо из них работает на вашем маршрутизаторе, вы, вероятно, увидите трафик, исходящий от маршрутизатора. Если вы используете DHCP, ваш компьютер будет периодически инициировать обмен с маршрутизатором. Скайп очень многословен. Смотрите мой пост на http://www.systemajik.com/blog/firewalling-google-chat-and-skype/ BillThor 14 лет назад 0

Похожие вопросы