熟悉iptables的看进来 - Hardware版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Hardware版 - 熟悉iptables的看进来

相关主题
● port forwarding 求助	● 怎么样才能把某个ip从LAN里隔离出来
● 谁知道tomato的设置文件存在哪里？	● 学校内网ip可以搭建vpn么？
● tomato 如何自定义 firewall?	● 家里的网络问题请教
● 请教 tomato 防火墙规则	● 远程ssh router的问题
● TP-Link TL_WDR4300 vs Asus RT-N66U哪个好？ (转载)	● 夸一下RT-N16
● pptp是装路由器上好还是服务器上好？	● 难道pogoplug E02装的那个没iptables?
● 自己家SS服务器，不需要fail2ban吧？	● 两个 10GBase-T 的网卡能直连么？
● HD2 tmobile prepaid + ddwrt openvpn 翻墙手册 (转载)	● 用 tomato 的地沟油，为啥从外网访问不了 web

相关话题的讨论汇总
话题: sip话题: input话题: accept话题: executing话题: tcp

进入Hardware版参与讨论

(共1页)

w*******t
发帖数: 960

一个困惑了一天的iptables问题要请教，
ubuntu V14，我设置了22等几个端口允许，其他的都block了。但为何我的asterisk里
还能看见人不停的试我的密码，端口就不在允许范围内
下面是我的iptables -S输出
=====================================================================
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060:5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060:5061 -j ACCEPT
-A INPUT -j DROP
=====================================================================
下面是asterisk -rvvvv下的信息
==========================================================
[2015-09-28 18:14:39] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for '
212.129.2.176:5090' - Wrong password
[2015-09-28 18:14:49] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.129.2.176:5061' - Wrong password
[2015-09-28 18:15:05] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for
'212.129.2.176:5061' - Wrong password

a*o
发帖数: 19981

reject呢？光可见accept了，你得把default弄成reject啊。

【在 w*******t 的大作中提到】

: 一个困惑了一天的iptables问题要请教，
: ubuntu V14，我设置了22等几个端口允许，其他的都block了。但为何我的asterisk里
: 还能看见人不停的试我的密码，端口就不在允许范围内
: 下面是我的iptables -S输出
: =====================================================================
: -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
: -A INPUT -i lo -j ACCEPT
: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

w*******t
发帖数: 960

最后一句不是把default都drop了吗？还是我理解错了

【在 a*o 的大作中提到】

: reject呢？光可见accept了，你得把default弄成reject啊。

a*o
发帖数: 19981

哦哦确实，是我看漏了。

【在 w*******t 的大作中提到】

: 最后一句不是把default都drop了吗？还是我理解错了

i**w
发帖数: 883

你的5060和5061是开着的吧

j********2
发帖数: 4438

你开着5060和5061，别人为啥不能连？

a*o
发帖数: 19981

大家安静，楼主已然躲到厕所里哭去了。

w*******t
发帖数: 960

下面的的asterisk的信息能看出来，5090端口也进来了，这个是我疑惑的地方

【在 j********2 的大作中提到】

: 你开着5060和5061，别人为啥不能连？

r******i
发帖数: 610

related,established

【在 w*******t 的大作中提到】

: 下面的的asterisk的信息能看出来，5090端口也进来了，这个是我疑惑的地方

w*******t
发帖数: 960

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
这句的本意是允许本地访问外部端口
我的网络 internet modem --- router(port forwarding) ----ubuntu server
这个iptables在ubuntu server上
外部的访问经过路由端口转发到这台主机上，对于主机看来都是192.168.0.1这个内部
地址？

【在 r******i 的大作中提到】

: related,established

相关主题
● pptp是装路由器上好还是服务器上好？	● 怎么样才能把某个ip从LAN里隔离出来
● 自己家SS服务器，不需要fail2ban吧？	● 学校内网ip可以搭建vpn么？
● HD2 tmobile prepaid + ddwrt openvpn 翻墙手册 (转载)	● 家里的网络问题请教
进入Hardware版参与讨论

a9
发帖数: 21638

从字面看也不仅仅是允许本地访问外部端口的意思啊。

【在 w*******t 的大作中提到】

: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: 这句的本意是允许本地访问外部端口
: 我的网络 internet modem --- router(port forwarding) ----ubuntu server
: 这个iptables在ubuntu server上
: 外部的访问经过路由端口转发到这台主机上，对于主机看来都是192.168.0.1这个内部
: 地址？

a9
发帖数: 21638

下面没有了

【在 w*******t 的大作中提到】

: 下面的的asterisk的信息能看出来，5090端口也进来了，这个是我疑惑的地方

t****t
发帖数: 6806

这个established的意思是已经建立的连接可以过. related主要是给FTP用的, 因为FTP
需要两个端口. 具体5090是不是和5060 related需要查一下ip_conntrack_*的module.

【在 a9 的大作中提到】

: 从字面看也不仅仅是允许本地访问外部端口的意思啊。

w*******t
发帖数: 960

我的网络 internet -- router(port forwarding) --- ubuntu pc( w/ iptables)
iptables 里 drop input
允许一些必要的port
把规则改了改，
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
又加了这几条 drop非法连接
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
======================================================================
asterisk CLi还是出现下面的信息：
212.I29.2.I76
这里的5112端口，我并没有开放
[2015-09-28 13:29:31] NOTICE[2040]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.I29.2.I76:5112' - Wrong password
======================================================================
iptable里把这个IP ban掉，世界清静了很多，但是还有下面这个能通过
212.83.I86.3是对方的IP，它没能在我的asterisk上注册，但一直试图用我的
asterisk打电话，不知道怎么做到的
这个看不出来是来自什么端口
另外，我的fail2ban也不能捉到这个连接
-- Executing [95011972597633694@from-sip-external:1] NoOp("SIP/my.own.ip.
address-0000004d", "Received incoming SIP connection from unknown peer to
95011972597633694") in new stack
-- Executing [95011972597633694@from-sip-external:2] Set("SIP/my.own.ip.
address-0000004d", "DID=95011972597633694") in new stack
-- Executing [95011972597633694@from-sip-external:3] Goto("SIP/my.own.ip
.address-0000004d", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/my.own.ip.address-
0000004d", "0?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,5)
-- Executing [s@from-sip-external:5] Set("SIP/my.own.ip.address-0000004d
", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2015-09-29 13:12:52.922 CDT.
-- Executing [s@from-sip-external:6] Log("SIP/my.own.ip.address-0000004d
", "WARNING,"Rejecting unknown SIP connection from 212.83.I86.3"") in new
stack
[2015-09-29 13:12:37] WARNING[4287][C-0000004c]: Ext. s:6 @ from-sip-
external: "Rejecting unknown SIP connection from 212.83.I86.3"
-- Executing [s@from-sip-external:7] Answer("SIP/my.own.ip.address-
0000004d", "") in new stack
-- Executing [s@from-sip-external:8] Wait("SIP/my.own.ip.address-
0000004d", "2") in new stack
-- Executing [s@from-sip-external:9] Playback("SIP/my.own.ip.address-
0000004d", "ss-noservice") in new stack
-- Playing 'ss-noservice.ulaw' (
language 'en')
-- Executing [s@from-sip-external:10] PlayTones("SIP/my.own.ip.address-
0000004d", "congestion") in new stack
-- Executing [s@from-sip-external:11] Congestion("SIP/my.own.ip.address-
0000004d", "5") in new stack
== Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
-- Executing [h@from-sip-external:1] Hangup("SIP/my.own.ip.address-
0000004d", "") in new stack
== Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
[2015-09-29 13:13:09] WARNING[2040]: chan_sip.c:4024 retrans_pkt:
Retransmission timeout reached on transmission
895273fdfb2906afa756789b2b66d3f6 for seqno 1 (Critical Response) -- See
https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions
Packet timed out after 32000ms with no response

j********2
发帖数: 4438

连的还是你的5060，5112是对方的端口。
你开着asterisk，如果想别人从外部网络call你，那对方自然会跑来连你的5060。但是
如果你配置不对的话，别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好，对方成功call的话，那吸掉
的话费就进了别人的口袋。
看你的log是正常的，所以不用担心。研究一下fail2ban针对asterisk的规则自动
封，或者干脆不管，没啥大碍。但得确定你配置好没有任何洞。

(共1页)

进入Hardware版参与讨论

相关主题
● 用 tomato 的地沟油，为啥从外网访问不了 web	● TP-Link TL_WDR4300 vs Asus RT-N66U哪个好？ (转载)
● 怎样mount另一个Linux server的filesystem (转载)	● pptp是装路由器上好还是服务器上好？
● 请问用aria2来下载迅雷离线是用http还是bt协议？	● 自己家SS服务器，不需要fail2ban吧？
● 尼玛，dockstar装openVPN装死了	● HD2 tmobile prepaid + ddwrt openvpn 翻墙手册 (转载)
● port forwarding 求助	● 怎么样才能把某个ip从LAN里隔离出来
● 谁知道tomato的设置文件存在哪里？	● 学校内网ip可以搭建vpn么？
● tomato 如何自定义 firewall?	● 家里的网络问题请教
● 请教 tomato 防火墙规则	● 远程ssh router的问题

相关话题的讨论汇总
话题: sip话题: input话题: accept话题: executing话题: tcp

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天