no tak
w politykachm mam ustawione zeby domyslnie blokowal ruch przychodzacy
btw to z nnd ja dopiero zaczynam i jeszcze nie do konca moge sie odnalezc
wczesniej uzywalem freesco
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Firewal do oceny http://forum.freesco.pl/viewtopic.php?f=22&t=16079 |
Strona 1 z 2 |
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 07:30 ] |
| Tytuł: | Firewal do oceny |
Widzicie moze jakies dziury ? #Dopuszczam ruch przychodzący iptables -A INPUT -p tcp --dport 80 -m limit --limit 2/s -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m limit --limit 2/s -j ACCEPT iptables -A INPUT -p tcp --dport 82 -j ACCEPT iptables -A INPUT -p udp --dport 443 -j ACCEPT iptables -A INPUT -p udp --dport 2082 -j ACCEPT iptables -A INPUT -p tcp --dport 2095 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Dopuszczam ruch na DNSach iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535 -j ACCEPT #Dopuszczam powrót pinga iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #Dopuszczam do ruchu połączniua już nawiązane i powiązane iptables -A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT #Dopuszczam ruch na interfejsie lokalnym iptables -A INPUT -s 127.0.0.1 -j ACCEPT iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT #Blokuję nieprawidłowe pakiety iptables -A INPUT -p tcp -j DROP -m state --state INVALID Moze mi ktos powiedziec jak moge zablokowac nieuzywane ip ?? |
|
| Autor: | tasiorek [ piątek, 12 października 2007, 08:57 ] |
| Tytuł: | |
To jest pelny firewall na routerze? |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 09:17 ] |
| Tytuł: | |
no tak w politykachm mam ustawione zeby domyslnie blokowal ruch przychodzacy btw to z nnd ja dopiero zaczynam i jeszcze nie do konca moge sie odnalezc wczesniej uzywalem freesco
|
|
| Autor: | tasiorek [ piątek, 12 października 2007, 09:30 ] |
| Tytuł: | |
Domyslnie jest ustawione jeszcze kilka regul, ktory tez tu nie widze. Wklej caly skrypt firewalla, albo wynik polecen iptables -L -n iptables -t nat -L -n bo na razie to trzeba sie domylac co zostawiles z domyslnego, a cpo i gdzie dodales. |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 09:49 ] |
| Tytuł: | |
Sorka za zle sformuowane pytanie FW jest na razie domyslny a to co podalem to sa bałwan jestem ktore do niego dopisalem |
|
| Autor: | tasiorek [ piątek, 12 października 2007, 10:19 ] |
| Tytuł: | |
Przeczytaj jeszcze raz mojego poprzedniego posta. |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 10:34 ] |
| Tytuł: | |
iptables -L -n Chain INPUT (policy DROP) target prot opt source destination mrtg_traffic all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 Chain FORWARD (policy DROP) target prot opt source destination mrtg_traffic all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT) target prot opt source destination mrtg_traffic all -- 0.0.0.0/0 0.0.0.0/0 (ciach) iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination |
|
| Autor: | tasiorek [ piątek, 12 października 2007, 10:46 ] |
| Tytuł: | |
Gdzie sa te Twoje reguly? Moze inaczej: w firewallu wazne sa wszystkie reguly, oraz ich kolejnosc. Zeby zobaczyc jego dzialanie trzeba widziec je wszystkie z zachowaniem kolejnosci. Na razie pokazales reguly ktore chcesz dopisac i standardowego firewalla osobno. Pokaz calosc, albo w skrypcie przed uruchomieniem, albo przez iptables -L ... po uruchomieniu. |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 10:54 ] |
| Tytuł: | |
Kurde znow mnie w pracy scigaja o jakies pierdoly :/ moglbys mi "przetlumaczyc" mojego starego firewalla z freesco na tego ktory bedzie w nnd ?? # --> Blokada calego ruchu LAN <--> INTERNET # # --> Odblokowanie ruchu DNS ipfwadm -I -i accept -P udp -S 10.10.2.0/26 -D any/0 53 ipfwadm -I -i accept -P icmp -S 10.10.2.0/26 -D any/0 # # --> Odblokowanie WWW - HTTP, HTTPS (HTTP Secure) i cPanel ipfwadm -I -i accept -P tcp -S 10.10.2.0/26 -D any/0 80 82 443 2082 2095 8085 # # --> Odblokowanie FTP ipfwadm -I -i accept -P tcp -S 10.10.2.0/26 -D any/0 21 # # --> Odblokowanie poczty na SMTP i POP3 ipfwadm -I -i accept -P tcp -S 10.10.2.0/26 -D any/0 25 110 # # --> Odblokowanie SSH dla LAN-u ipfwadm -I -i accept -P tcp -S 10.10.2.0/26 -D 10.10.2.0/26 22 # # # --> Blokada dostepu do internetu dla serwera plików ipfwadm -I -i reject -P all -S 10.10.2.3 -D any/0 ipfwadm -I -i reject -P all -S any/0 -D 10.10.2.3 ipfwadm -I -i accept -P tcp -S 10.10.2.3 -D 10.10.2.1 # # --> Blokada dostepu do Internetu dla pozostalych IP <-- ipfwadm -I -i reject -P all -S 10.10.2.30 -D any/0 |
|
| Autor: | -MW- [ piątek, 12 października 2007, 11:14 ] |
| Tytuł: | |
a po co odblokowywac cos co jest odblokowane? mozesz jedynie zablokowac net tym ktorzy miec go nie powinni. |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 11:28 ] |
| Tytuł: | |
chodzi o to zeby zablokowac wszystko poza tym co podalem post wyzej oraz dostep do netu przez "nieuzywane" ip |
|
| Autor: | -MW- [ piątek, 12 października 2007, 12:17 ] |
| Tytuł: | |
no to teraz wiemy o co chodzi 
w oryginalnym firewall z nnd podmien linie # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT # i maskujemy if [ $NETWORK = 1 ]; then $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE fi na $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 21,22,25,80,111,119,443,i_tu_sobie_cos_dopisz -j ACCEPT $i -A FORWARD -i ! $EXTIF -p udp --dport ! 53 -j ACCEPT dopuscisz ruch tylko na wybranych portach. jesli masz serwer dns uruchomiony na nnd to linia blokujaca pakiety udp na wszystkich portach oprocz 53 jest zbedna. |
|
| Autor: | Piotras-KBW [ piątek, 12 października 2007, 13:49 ] |
| Tytuł: | |
a jak zablokowac nieuzywane ip ?? |
|
| Autor: | -MW- [ sobota, 13 października 2007, 14:02 ] |
| Tytuł: | |
$i -I FORWARD -i ! $EXTIF -s 192.168.10.10 -j DROP $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 21,22,25,80,111,119,443,i_tu_sobie_cos_dopisz -j ACCEPT $i -A FORWARD -i ! $EXTIF -p udp --dport ! 53 -j ACCEPT |
|
| Autor: | Piotras-KBW [ niedziela, 14 października 2007, 01:18 ] |
| Tytuł: | |
Cytuj: $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 21,22,25,80,111,119,443,i_tu_sobie_cos_dopisz -j ACCEPT
Moge sobie to rozbic na grupy zeby bylo bardziej czytelne? np #odblokowanie poczty $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 25,110 -j ACCEPT #odblokowanie www $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 80,443 -j ACCEPT |
|
| Autor: | tasiorek [ niedziela, 14 października 2007, 01:55 ] |
| Tytuł: | |
Tak, z tym ze bardziej czytelnie nie znaczy wydajniej. Chociaz przy takiej ilosci regul roznica nie bedzie zauwazalna. |
|
| Autor: | -MW- [ niedziela, 14 października 2007, 10:55 ] |
| Tytuł: | |
Cytuj: Moge sobie to rozbic na grupy zeby bylo bardziej czytelne?
w jednej lini jest bardziej czytelne
|
|
| Autor: | Piotras-KBW [ poniedziałek, 15 października 2007, 07:18 ] |
| Tytuł: | |
dla mnie pogrupowane jest bardziej czytelne 
Edit Dzis dopiero moglem przetestowac FW, wpisalem cos takiego do pliku firewall # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT # Blokowanie nieużywanych IP $i -I FORWARD -i ! $EXTIF -s 10.10.2.4 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.5 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.6 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.7 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.8 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.9 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.10 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.14 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.15 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.16 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.17 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.18 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.19 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.20 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.26 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.27 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.28 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.29 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.34 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.35 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.36 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.37 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.38 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.39 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.40 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.45 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.46 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.47 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.48 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.49 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.50 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.55 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.56 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.57 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.58 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.59 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.60 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.66 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.67 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.68 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.69 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.70 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.73 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.74 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.75 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.76 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.77 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.78 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.79 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.80 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.82 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.83 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.84 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.85 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.86 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.87 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.88 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.89 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.90 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.91 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.92 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.93 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.94 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.95 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.96 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.97 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.98 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.99 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.100 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.101 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.102 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.103 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.104 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.105 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.106 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.107 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.108 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.109 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.110 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.111 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.112 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.113 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.114 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.115 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.116 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.117 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.118 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.119 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.120 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.121 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.122 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.123 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.124 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.125 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.126 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.127 -j DROP $i -I FORWARD -i ! $EXTIF -s 10.10.2.128 -j DROP # Odblokowanie poczty, wwww,itp $i -A FORWARD -i ! $EXTIF -p tcp -m multiport --dport 21,22,25,80,82,110,111,119,443,2082,2095,8000,8085 -j ACCEPT $i -A FORWARD -i ! $EXTIF -p udp --dport ! 53 -j ACCEPT # i maskujemy if [ $NETWORK = 1 ]; then $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE fi i dupa po restarcie nie ma neta :/ |
|
| Autor: | zciech [ poniedziałek, 15 października 2007, 09:30 ] |
| Tytuł: | |
To nie o to Ci chodziło? Zapamiętajcie raz na jutro drogie studenty, nie mieszajcie w pliku firewala komend [ -I ] oraz [ -A ] Skoro najpierw zablokowales wszystkich to nie spodziewaj sie ze dalsze komendy coś odblokują. |
|
| Autor: | Piotras-KBW [ poniedziałek, 15 października 2007, 09:36 ] |
| Tytuł: | |
chodzilo mi o to aby zablokowac wszystko poza tym to chce przepuscic, poczta, www, ftp itp |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|