Freesco, NND, CDN, EOS
http://forum.freesco.pl/

firewall by Czerw (co i jak)
http://forum.freesco.pl/viewtopic.php?f=22&t=11631		 Strona 1 z 1
Autor:  Mr Groch [ niedziela, 12 marca 2006, 19:00 ]
Tytuł:  firewall by Czerw (co i jak)
Witam

Zapodalem sobie tego firewallka, naczytalem sie duzo pozytywnie o nim :)
Mam kilka pytan, po pierwsze, co sie dzieje z poprzednim firewallem
Zciecha?

Po drugie, dlaczego firewall musi ponownie generowac maskarade?
Nie znam sie dokladnie ale jestem docielkiwy i chcialbym poznac co
sie dzieje w kompie :) Wiem, ze przy instalacji byla ona jakos
generowana, nie wiem gdzie, ale dlaczego teraz znow trzeba ja
generowac? Co sie dzieje ze stara konfiguracja?

Po trzecie, chcilabym narzucic limit polaczen 200 na calal siec,
w konfiguratorze pisze by podac 192.168.0.0\/24 - tak tez zrobilem
ale nie jestem pewny cczy nie jest to literowka w pomocy - nie powinno
byc 192.168.0.0/24 ?

Bylbtym takze wdzieczny jezeli komus sie zechce i mniej wiecej
opisze zasade dzialani tego firewalla, ale tylko jesli ktos
ma czas i ochote :)

Sorry, jezlei zadaje lamerskie pytania, ale kazdy kiedys zaczynal a ja
mam wielkie checi, by sie w bto zaglebic :)

Pozdrawiam
Autor:  dafi [ niedziela, 12 marca 2006, 19:14 ]
Tytuł: 
moge tylko napisać że oznaczenie 192.168.0.0\/24 musi być błędem, bo zapis 192.168.0.0/24 oznacza adresy ip 192.168.1-254 a 24 to zapis maski typu 255.255.255.0 ale w innej formie (nie pamiętam dokładnie jakiej chyba bitowej??)

na reszcie sam sie nie znam i też mam troche problemów z NND

pozdro
Autor:  Mr Groch [ niedziela, 12 marca 2006, 19:30 ]
Tytuł: 
Dzieki, faktycznie po zmianie na 192.168.0.0/24 wygenerowany
plik iptables.rules stal sie "ladniejszy" niz poprzednio :)

I jeszcze jedno chcialbym dodac do moich docielkiwych pytan:

Po czwarte, dlaczego trzeba zatryzmac niceshapera przed wygenerowaniem
firewalla?

Pozdrawiam :)
Autor:  Gość [ niedziela, 12 marca 2006, 19:33 ]
Tytuł: 
To ja się podepne pod temat bo chyba cos napsulem, ponieważ exim przestał wysyłać mi poczte. Jak próbuję coś wysłać to klient poczty krzyczy że serwer może odrzucać połączenia i takiem tam bzdety. Wydaje mi się że to może być związane z przejściem z Firewall'a Zciech na Czerwo bo nić innego z serwerem nie robiłem (no może zmieniłem sobie domenke ale wszystko w configu zmieniłem [stare adresy na nowe]). A zewnętrzny skanerek krzyczy The host sin.waw.pl does not have a service running on port 465 (smtps).

Czekam na pomoc bo nie wiem co robić.

P.S A w sumie mnie też ciekawi co się dzieje z Firewall'em Zciecha podczas instalacji by Czerwo, co np. z przekierowaniami wpisanymi na sztywno (newet nie pamiętam gdzie to się robiło :) )
Autor:  Gość [ niedziela, 12 marca 2006, 19:34 ]
Tytuł: 
Mr Groch pisze:
Po czwarte, dlaczego trzeba zatryzmac niceshapera przed wygenerowaniem
firewalla?


Bo nicesharper przecież też ma swoje regułki w firewall'u...
Autor:  tasiorek [ niedziela, 12 marca 2006, 19:56 ]
Tytuł: 
Mr Groch pisze:
co sie dzieje z poprzednim firewallem Zciecha?

Skrypt startowy iptables jest na tyle sprytny, ze wykrywa czy istnieje plik iptables.rules (tworzony m.in przez fw Czerwo), jesli nie, to uruchamia firewall Zciecha.
Mr Groch pisze:
Po drugie, dlaczego firewall musi ponownie generowac maskarade? Nie znam sie dokladnie ale jestem docielkiwy i chcialbym poznac co sie dzieje w kompie Smile Wiem, ze przy instalacji byla ona jakos generowana, nie wiem gdzie, ale dlaczego teraz znow trzeba ja generowac?

Przy instalacji nie byla generowana zadna maskarada. Byl tylko generowany plik konfiguracyjny identa dla komputerow za maskarada.
Mr Groch pisze:
Bylbtym takze wdzieczny jezeli komus sie zechce i mniej wiecej opisze zasade dzialani tego firewalla, ale tylko jesli ktos ma czas i ochote

A co tu jest do opisywania? Tworzy reguly, ktore sobie wybierzesz przy konfiguracji i zapisuje je w /etc/iptables/iptables.rules
raven pisze:
A zewnętrzny skanerek krzyczy The host sin.waw.pl does not have a service running on port 465 (smtps)

Bo nie ma, a powinna? Port 25 i 110 masz otwarte.
raven pisze:
co np. z przekierowaniami wpisanymi na sztywno (newet nie pamiętam gdzie to się robiło Smile )

Zalezy od tego gdzie je wpisales. Jak do /etc/iptables/firewall, to tez plik przestaje byc brany pod uwage. Jak do iptables.rules (chocby przez polecenie /etc/rc.d/iptables save), to o ile dobrze pamietam, to firewall Czerwa nie dopisuje do tego pliku, tylko go wczesniej usuwa, wiec tez przepadna.
Autor:  Mr Groch [ niedziela, 12 marca 2006, 20:03 ]
Tytuł: 
Cytuj:
Mr Groch pisze:
Po drugie, dlaczego firewall musi ponownie generowac maskarade? Nie znam sie dokladnie ale jestem docielkiwy i chcialbym poznac co sie dzieje w kompie Smile Wiem, ze przy instalacji byla ona jakos generowana, nie wiem gdzie, ale dlaczego teraz znow trzeba ja generowac?

Przy instalacji nie byla generowana zadna maskarada. Byl tylko generowany plik konfiguracyjny identa dla komputerow za maskarada.


Uhm.. Oki, a to dlaczego teraz wymagane jest wpisanie IP komputerow
w sieci a wczesniej nic mi tego nie kazalo :D

A przy okazji - nie wiem czemu ale nie potrafie wjesc na
http://groch.no-ip.org/cgi-bin/nice2htm.html, wogole nie chce mnie
dopuscic na serwer www spod domeny groch.no-ip.org. Niby w
rc.conf mam przy WWW dane 1, i mysle, ze w iptables.rules
jest zawarta regulka zwiazana z portem 80, a mu\imo to nie umiemsie
dostac spod tego adresu. Co ciekawe - przez ssh korzuastajac z domeny
groch.no-ip.org potrafie sie podpiac bez problemu.

Pozdrawiam
Autor:  Gość [ niedziela, 12 marca 2006, 20:03 ]
Tytuł: 
tasiorek pisze:
Bo nie ma, a powinna? Port 25 i 110 masz otwarte.


No zasadniczo biorąc pod uwagę że korzystałem z

http://nnd.freesco.pl/news.php?detail=n1101602761.news

no to chyba tak, ale jeśli się myle to co proponujesz zrobić z tym exim'em, który nie chce mi wysyłać poczty? Odbierać moge ale fajnie by było czasem komuś odpisać :)
Autor:  tasiorek [ niedziela, 12 marca 2006, 23:10 ]
Tytuł: 
Mr Groch pisze:
Uhm.. Oki, a to dlaczego teraz wymagane jest wpisanie IP komputerow w sieci a wczesniej nic mi tego nie kazalo :D

Bo o ile dobrze pamietam (nie jestem pewny, bo go nie uzywam, tylko raz go uruchomilem z ciekawosci) firewall Czerwa tworzy maskarade, tylko dla wybranych adresow, a Zciecha maskuje wszystkie pakiety wychodzace laczem do internetu.
Mr Groch pisze:
A przy okazji - nie wiem czemu ale nie potrafie wjesc na http://groch.no-ip.org/cgi-bin/nice2htm.html, wogole nie chce mnie dopuscic na serwer www spod domeny groch.no-ip.org.

Dziwne, bo ja moge te statystyki zobaczyc.
raven pisze:
No zasadniczo biorąc pod uwagę że korzystałem z
http://nnd.freesco.pl/news.php?detail=n1101602761.news
no to chyba tak, ale jeśli się myle to co proponujesz zrobić z tym exim'em, który nie chce mi wysyłać poczty?

Sprawdz netstatem, czy nasluchuje na porcie 465, jesli tak to wpisz:
iptables -I INPUT -p tcp --dport 465 -j ACCEPT
jesli nie, to cos z konfiguracja jest nie tak i ja Ci juz w tym nie pomoge, bo exima nie uzywam.
Autor:  ernidok [ piątek, 17 marca 2006, 14:58 ]
Tytuł: 
mam pytanie wzgledem kontroli ttl dla wybranych adresów.
mój ttl_config wygląda tak
: [/] [] ()
#TTL
TTL=1
GeSHi © Codebox Plus

w jaki sposób dopisywać adresy które chce żeby miały taką wartość TTL?
Konfigurator sie mnie o te adresy nie pytał.
może gdzieś to jest, ale nie znalazłem.
Chce ustawić dla całej sieci 1, dla wybrańców moze nie ustawiać.

PS. czy wchodzi komuś strona firewall.bleszno.net, bo ja mam białą stronę.
pozdro

EDIT: Jeszcze jedna sprawa, zmianaTTL spod konfiguratora, i ponownie wygenerowanie firewalla, nie zmienia ustawienia TTL w pliku firewalla.
Chyba że coś nie tak robie.
Zmieniłem to z palca w pliku, ale chciałbym wiedzieć jak to sie robi konfiguratorem.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/