temat uważam za zamknięty - bynajmniej dowiedziałem się tego co chciałem
nie ma co się złościć - trzeba sobie pomagać
pozdrawiam
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Pytanko o iptables http://forum.freesco.pl/viewtopic.php?f=22&t=13455 |
Strona 1 z 1 |
| Autor: | przemek_nnd [ wtorek, 5 września 2006, 20:22 ] |
| Tytuł: | Pytanko o iptables |
Mam pytanie: przeglądałem kilka firewalli i zauważyłem różnicę np. w regułce $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT $i -A INPUT -p tcp -i $EXTIF --dport 80 -m state --state NEW -j ACCEPT ta na dole wpuszcza tylko nowe połączenia a ta na górze wszystkie? jak to ma się ma do siebie? |
|
| Autor: | myuser [ wtorek, 5 września 2006, 20:30 ] |
| Tytuł: | |
jak ktos chce nawiazac polaczenie (wysyla pierwszy pakiet) to jest on wychwytywany w -m --state NEW. gdy komunikacja jest dalej utrzymywana mozna ja wychwycic przez --state ESTABLISHED. jak dana aplikacja chce cos jeszcze na innym porcie "pogadac" to masz --state RELATED. |
|
| Autor: | przemek_nnd [ wtorek, 5 września 2006, 20:48 ] |
| Tytuł: | |
to w jakich przypadkach wykorzystywać te reguły? masz jakieś przykłady |
|
| Autor: | myuser [ wtorek, 5 września 2006, 21:04 ] |
| Tytuł: | |
np tak: iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT ... iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT |
|
| Autor: | tasiorek [ wtorek, 5 września 2006, 22:07 ] |
| Tytuł: | |
myuser pisze: iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT ... iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT Efekt identyczny daja te reguly: iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT ... iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT (jest jeszcze stan untracked i invalid, ale w wiekszosci przypadkow mozna je pominac) przemek_nnd, skoro nie masz pomyslu jak je wykorzystac, to znaczy ze tego nie potrzebujesz. Chcesz na sile wykorzystac wszystkie mozliwosci modulow w iptables, czy jak? |
|
| Autor: | przemek_nnd [ wtorek, 5 września 2006, 22:13 ] |
| Tytuł: | |
nie zupełnie - chce się dowiedzieć właśnie jak wykorzystywać te reguły i w jakich przypadkach |
|
| Autor: | tasiorek [ wtorek, 5 września 2006, 22:23 ] |
| Tytuł: | |
A to juz nie jest tak, ze najpierw pojawia sie problem, a pozniej sie szuka rozwiazania? Masz napisane co to oznacza, a wykorzystac mozesz do czego chcesz. Do mycia samochodu raczej sie nie nadadza, ale sprobowac mozesz. |
|
| Autor: | przemek_nnd [ wtorek, 5 września 2006, 22:45 ] |
| Tytuł: | |
tasiorek pisze: A to juz nie jest tak, ze najpierw pojawia sie problem, a pozniej sie szuka rozwiazania?
Masz napisane co to oznacza, a wykorzystac mozesz do czego chcesz. Do mycia samochodu raczej sie nie nadadza, ale sprobowac mozesz. jak zwykle wpitalasz się i piszesz głupoty - lepiej w ogóle sie nie udzielaj niż masz zawracać mi czas... nie jesteś sam na tym forum |
|
| Autor: | tasiorek [ wtorek, 5 września 2006, 22:48 ] |
| Tytuł: | |
Jak zwykle prosze o podanie przykladu. Wracajac to Twojego postu, to przeczytaj go jeszcze raz i sie zastanow. Masz dokladnie podane co do czego sluzy i dalej meczysz, jak to mozna wykorzystac. Nie uwazasz, ze to dziwne? |
|
| Autor: | przemek_nnd [ wtorek, 5 września 2006, 23:05 ] |
| Tytuł: | |
a jednak jest różnica przy wykorzystywaniu --state http://www.ziolek.piotrkow.pl/linux/iptablesi.htm np. Cytuj: iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
Powyższy wpis umożliwia korzystanie z portów 20 i 21 (ftp), ale tylko w trybie passive off klienta ftp. Istnieje jednak możliwość udostępnienia pracy w trybie passive on. Jednak trzeba pozwolić na wymianę pakietów pomiędzy dynamicznie przydzielanymi portami zarówno po stronie serwera, jak i klienta ftp. Umożliwia to analiza śledzenia połączeń modułów ip_conntrack i ip_connttack_ftp. W iptables realizuje się to przez opcję -m state. Stany które można sprawdzać to: NEW (NOWY) - pakiet tworzący nowe połączenie; ESTABLISHED (NAWIĄZUJĄCY) - pakiet należący do istniejącego połączenia; RELATED (ZWIĄZANY) - pakiet związany z połączeniem już ustanowionym, ale nie będący jego częścią; INVALID (BŁĘDNY) - pakiet błędny lub nie do zidentyfikowania. Wracając do naszego przykładu, odpowiedni zapis w Iptables będzie miał postać: iptables -A INPUT -m state --state RELATED -j ACCEPT |
|
| Autor: | myuser [ środa, 6 września 2006, 14:43 ] |
| Tytuł: | |
Dobrze Przemek ale o tym juz Ci napisalismy - co to jest RELATED. BTW: Wg mnie na tym forum jest zupelnie inna "polityka" niz na np forum.slackware.pl. Gdyby ktoś tam zalozyl taki topic to jedyna odpowiedz: google.pl i do /dev/null. |
|
| Autor: | marask [ środa, 6 września 2006, 15:48 ] |
| Tytuł: | |
akurat pytanie było dobre a skoro taka polityka Ci nie pasuje to idź sobie na slackware albo do /dev/null (jak wolisz). To, że inni są ciekawi funkcji i nie wiedzą do czego mogą się przydać to jeszcze nie powód, żeby odmawiać im informacji. |
|
| Autor: | tasiorek [ środa, 6 września 2006, 17:15 ] |
| Tytuł: | |
marask pisze: akurat pytanie było dobre
Widze, ze juz druga osoba tak uwaza, wiec prosze o wytlumaczenie mi, dlaczego. Nie odbierajcie tego jako zlosliwosc, czy czepianie sie. Pytam powaznie. Nawet to co "odkryl" przemek_nnd bylo opisane w pierwszej odpowiedzi, wystarczy zaczac czytac ze zrozumieniem. |
|
| Autor: | przemek_nnd [ środa, 6 września 2006, 19:43 ] |
| Tytuł: | |
temat uważam za zamknięty - bynajmniej dowiedziałem się tego co chciałem nie ma co się złościć - trzeba sobie pomagać pozdrawiam
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|