tassman pisze:
czy moge normalnie przez:
iptables itd.
iptables itd.
Nie, wtedy po restarcie iptables zostaną skasowane.
Cytuj:
a w osobnym pliku i wywolac go z rc.local - nie mozna?
A można, jednak to mało estetyczne
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Dopisanie regul firewall http://forum.freesco.pl/viewtopic.php?f=22&t=15305 |
Strona 1 z 1 |
| Autor: | tassman [ środa, 9 maja 2007, 10:08 ] |
| Tytuł: | Dopisanie regul firewall |
Gdzie najlepiej dopisywac reguly firewall aby nie uzywac iptables save ale zeby uruchamialy sie one ze startem systemu? |
|
| Autor: | toip [ środa, 9 maja 2007, 10:24 ] |
| Tytuł: | |
/etc/rc.d/rc.local |
|
| Autor: | qrak [ środa, 9 maja 2007, 11:28 ] |
| Tytuł: | |
albo /etc/iptables/firewall |
|
| Autor: | JakubC [ środa, 9 maja 2007, 14:03 ] |
| Tytuł: | |
Pamiętaj tylko, że dopisując do rc.local reguła zostanie wykonana już po starcie firewalla (/etc/iptables/firewall), jeżeli zaś dopiszesz do pliku firewalla (/etc/iptables/firewall), to musisz mieć na uwadze kolejność wykonywanych reguł. |
|
| Autor: | tassman [ środa, 9 maja 2007, 14:07 ] |
| Tytuł: | |
no walsnie tylko w ktorym wierszu dopisac reguly i czy moge normalnie przez: iptables itd. w miare mozliwosci prosze o przyklad |
|
| Autor: | zciech [ środa, 9 maja 2007, 14:21 ] |
| Tytuł: | |
# zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu if [ "$IMAPS" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT $i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT fi # pingi pozwalamy $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec # To jest bardzo dobre miejsce na wlasne reguly zarowno blokujace jak i przepuszczajace. |
|
| Autor: | -MW- [ środa, 9 maja 2007, 14:22 ] |
| Tytuł: | |
w osobnym pliku i wywolac go z rc.local - nie mozna? a jeszcze jesli bedzie to osbny łańcuch dodany na samej gorze, to mam pewnosc ze dodawane do niego regulki beda dzialaly tak jak chce i uzycie reguly z celem RETURN nie bedzie stresujace, a wiele mozna tym sposobem obejsc. |
|
| Autor: | JakubC [ środa, 9 maja 2007, 14:28 ] |
| Tytuł: | |
tassman pisze: czy moge normalnie przez: iptables itd. Nie, wtedy po restarcie iptables zostaną skasowane. Cytuj: a w osobnym pliku i wywolac go z rc.local - nie mozna?
A można, jednak to mało estetyczne
|
|
| Autor: | servantes [ czwartek, 10 maja 2007, 15:03 ] |
| Tytuł: | |
Poszedlem tropem opisu zciecha i w tym miejscu co bylo pisane w firewall w ./etc/iptables - wstawilem nastepujacy wpis $i -A OUTPUT -d www.wp.pl -p tcp --dport 80 -j DROP zmiane zapisalem - restart - i sprawdzam czy jest wpis w iptables -L i jest zablokowny OUTPUT na www.wp.pl A wchodze na strone ww.wp.pl i co odblokowana jest - nie rozumiem. Nie uzywam zadnego squida, samby i innych. Podstawowa konfiguracja po instalacji NND 0.2 z 15 stycznia 2006. Co robie nie tak?? A moze brakuje tam jakiegos wpisu typu -i $EXTIF ?? Moim zadaniem jest zrobienie takiego serwera - zeby w prosty sposob realizowal nast funkcje. Do serwera poprzez switch jest wlaczonych - 4 komputery. Rozchodzi mi sie o to, zeby filtrowac dostep poprzez MAC i IP. Nastepnie w jednym z komputerow ograniczyc net tylko i wylacznie do zbioru np: 20 - 30 stron www. Natomiast na pozostalych - 3 kompterach net - mial by byc normalnie - czyli bez ograniczen. Myslalem juz o tym, zeby te stronki dozwolone w pliku wpisac, ale jak pozniej to przetworzyc?? Nie mam bladego pojecia? Brakuje mi podstaw - bo nie wiem - filtrowanie -odbywa sie w NND tylko poprzez zmiany w pliku /etc/iptables/ *firewall Jak mozna odczytywac dane z innego pliku itd... nie wiem? Znam jezyk C ale ta w NND to jest jakas odmiana jego?? Potrzebuje podsatw - przegladalem forum i nic... moze slabo szukalem. Macie moze jakiegos linka, zeby moc wykonac latwo takie zadanie, bez instalowania squida itp.. Dziekuje za wszelkie pomocne podpowiedzi |
|
| Autor: | zciech [ czwartek, 10 maja 2007, 17:25 ] |
| Tytuł: | |
1. Dlaczego OUTPUT? 2. U mnie dziala 
root@serwer:~$nmap www.wp.pl -p 80 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on www.wp.pl (212.77.100.101): Port State Service 80/tcp open http Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds root@serwer:~$iptables -A OUTPUT -d www.wp.pl -p tcp --dport 80 -j DROP root@serwer:~$nmap www.wp.pl -p 80 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted sendto in send_tcp_raw: sendto(3, packet, 40, 0, 212.77.100.101, 16) => Operation not permitted Interesting ports on www.wp.pl (212.77.100.101): Port State Service 80/tcp filtered http Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds root@serwer:~$iptables -D OUTPUT -d www.wp.pl -p tcp --dport 80 -j DROP root@serwer:~$nmap www.wp.pl -p 80 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on www.wp.pl (212.77.100.101): Port State Service 80/tcp open http Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds |
|
| Autor: | servantes [ piątek, 11 maja 2007, 09:57 ] |
| Tytuł: | |
Dzieki zciech za odpowiedz, ale problem mam inny - bo na serwerze faktycznie blokuje, a na komputerach wlaczonych do sieci wewnetrznej stronki normalnie chodza i www.wp.pl tez, a wiec nie uzyskalem chcianego efektu. Tylko prosze powiedz mi jak zrobic zeby zablokowac to wszystkim - albo konkretnemu uzytkownikowi o okreslonym w sieci wewnetrzne adresie IP np 192.168.1.4 i blokada strony www.wp.pl. Nadmieniam ze adres www.wp.pl jest tylko przykladowym. |
|
| Autor: | Alfred [ piątek, 11 maja 2007, 10:41 ] |
| Tytuł: | |
Generalnie zamiast OUTPUT daj FORWARD. Przecież te pakiety tylko przechodzą przez serwer, a nie z niego są wysyłane. |
|
| Autor: | servantes [ piątek, 11 maja 2007, 11:18 ] |
| Tytuł: | |
Alfred pisze: Generalnie zamiast OUTPUT daj FORWARD.
Przecież te pakiety tylko przechodzą przez serwer, a nie z niego są wysyłane. Niestety to nic nie dało nadal nie ma filtrowania i www.wp.pl sie laduje |
|
| Autor: | Alfred [ piątek, 11 maja 2007, 11:47 ] |
| Tytuł: | |
Cytuj: Niestety to nic nie dało nadal nie ma filtrowania i www.wp.pl sie laduje
Bo dopisujesz nie w tym miejscu co trzeba (w firewallu). Może inaczej Daj $i -I FORWARD -d www.wp.pl -p tcp --dport 80 -j DROP I zamiast A - to spowoduje dopisanie regułki na początku reguł firewalla Musi zadziałać |
|
| Autor: | servantes [ piątek, 11 maja 2007, 22:11 ] |
| Tytuł: | |
Dzieki Alfred - zadzialalo - zmylila mnie niewiedza, poniewaz caly czas sadzilem ze iptables sprawdza wszystkie warunki i tworzy jakas tam zaleznosc miedzy nimi, a tu sie okazuje, ze warunek nadrzedny - czyli pierwszy w kolejnosci jest najwazniejszy, stad ta roznica z zastosowaniem -A i -I. Wiadomo czlowiek uczy sie na bledach. Dobrze miec wsparcie w postaci forum. |
|
| Autor: | zciech [ piątek, 11 maja 2007, 22:21 ] |
| Tytuł: | |
servantes pisze: Dzieki a tu sie okazuje, ze warunek nadrzedny - czyli pierwszy w kolejnosci jest najwazniejszy, stad ta roznica z zastosowaniem -A i -I. Wiadomo czlowiek uczy sie na bledach. Dobrze miec wsparcie w postaci forum.
Nie każdy cel powoduje wyjście z łańcucha  
np. w tabeli mangle cel MARK 
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|