Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Firewall dla nowego nnd

Moderatorzy: tasiorek, JakubC, Mis'

Strona 21 z 22

[ Posty: 422 ]

Przejdź na stronę Poprzednia 1 ... 18, 19, 20, 21, 22 Następna

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

zciech

Tytuł:

: niedziela, 18 grudnia 2005, 11:10

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

http://www.netfilter.org/

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

Dwd89

Tytuł:

: piątek, 8 stycznia 2010, 17:23

Rejestracja: wtorek, 22 września 2009, 21:41
Posty: 32
Lokalizacja: Slask

Sznaps pisze:

Na stronie starsza wersje usunieto i jest chyba nowsza

http://listonosz.no-ip.com/download/pak ... pkg.tar.gz

Po przekierowaniu tcp, udp i wygenerowaniu przestal dzialac u mnie net i nie wiem dlaczego, a na serwerze jest.

Mam tak samo, wybaczcie że odkopuje stary temat ale po przeczytaniu całego watku nie wiem dalej co z tym fantem zrobić ;/

Maskarade mam ustawić ? a można zapytać jaka ma być ( wszystko ustawiane domyślnie) albo gdzie sprawdzić jaka powinna być ;>

Na górę

Bastian

Tytuł:

: poniedziałek, 11 stycznia 2010, 12:44

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

Witam,

Dopisuje do wątku małą prośbę. Czy ktoś mógłby mi podać defaultowe w NND wartości dla poniższych ustawień? Przekombinowałem chyba z firewallem, jezeli nie otworze totalnie serwera tzn:

: [/] [] ()

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

GeSHi © Codebox Plus

To nie moge sie do niczego dostać. Wynika to chyba z mojej "zabawy" poniższymi wartościami. Tak więc prosze o podanie defaultowych dla NND:

: [/] [] ()

# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

GeSHi © Codebox Plus

Na górę

rikardo7

Tytuł:

: poniedziałek, 11 stycznia 2010, 16:28

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

pacman -S iptables powinien zalatwic sprawe.

Na górę

Bastian

Tytuł:

: poniedziałek, 11 stycznia 2010, 17:06

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

rikardo7 pisze:

pacman -S iptables powinien zalatwic sprawe.

Zrobiłem, i nadal nie mam dostępu do usług. Czy ta akualizacja o której piszesz zmienia cos w tych wartosciach o ktore mi chodzi? Bo nie wydaje mi sie..

Mozesz wkleic wynik tych wartosci u siebie? Chodzi o to ze po wprowadzeniu do firewalla tych regul, zostały one nadpisane, i odtąd nie moge dostac sie do uslug, na podstawie regul firewalla, ktore wczesniej dzialaly...

PS. Poprostu potrzebuje wynik na "czystym" NND:

: [/] [] ()

cat /proc/sys/net/ipv4/conf/all/rp_filter

GeSHi © Codebox Plus

: [/] [] ()

cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

GeSHi © Codebox Plus

: [/] [] ()

cat /proc/sys/net/ipv4/conf/all/accept_source_route

GeSHi © Codebox Plus

: [/] [] ()

/proc/sys/net/ipv4/conf/all/accept_redirects

GeSHi © Codebox Plus

: [/] [] ()

/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

GeSHi © Codebox Plus

: [/] [] ()

/proc/sys/net/ipv4/conf/all/log_martians

GeSHi © Codebox Plus

Na górę

rikardo7

Tytuł:

: poniedziałek, 11 stycznia 2010, 17:12

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

standartowe ustawienia firewalla sa w pliku /etc/iptables/firewall

Cytuj:

case $1 in

start)

if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi

echo 1 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

edit
a moze napisz co ci nie dziala, bo moze nie jest to wina firewalla

Na górę

Bastian

Tytuł:

: poniedziałek, 11 stycznia 2010, 17:35

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

Ok wklejam reguły mojego firewalla:

: [/] [] ()

#--FIREWALL--#

/usr/sbin/iptables -F

/usr/sbin/iptables -X

#ZMIENNE
JAS_DOM="xx.xxx.xxx.x"
JA_DOM="yy.yyy.yyy.y"
MAREK="zzz.zzz.zz.z"
#POLITYKA DOMYSLNA
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT

#USTAWIENIA DLA POSZCZEGOLNYCH USLUG

#http
/usr/sbin/iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT

#ftp
#/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s 192.168.0.0/8 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $JAS  -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $JA  -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $MAREK -j ACCEPT

#ssh
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s 192.168.0.0/8 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s 192.168.0.0/8 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JA -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JA -j ACCEPT



#samba
/usr/sbin/iptables -A INPUT -p tcp --destination-port 135 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --destination-port 137 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --destination-port 138 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 445 -j ACCEPT 

#RESZTA
/usr/sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#/usr/sbin/iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

#KONFIGURACJA WARTOSCI KERNELA
[b]
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw (odrzucanie pakietów przeznaczonych dla innych IP niz ich wlasne)
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
[/b]



#ODRZUCANIE CAŁEJ RESZTY (??)
/usr/sbin/iptables -A INPUT -j DROP

GeSHi © Codebox Plus

Po wpisaniu tego co wytłuszczone, nie moge logować sie na serwer z zewnątrz, a jedynie po adresie lokalnym 192.168.0.0/8... Wczesniej mogle dlatego mysle ze to przez te reguły. Niestety nie spisalem wartosci domyślnych dla tych opcji i nie wiem, jak wrócic do statusu quo ante....

Na górę

rikardo7

Tytuł:

: poniedziałek, 11 stycznia 2010, 17:54

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

to nie sa regulki ze standartowego firewala, nie uruchamiaj tych regul, zrob im stop i wykonaj /etc/rc.d/iptables restart to powinno zrestartowac standartowego firewala, a tak na marginesie to wiekszosc regul z tego pliku jest w standardowym firewalu.

Na górę

Bastian

Tytuł:

: poniedziałek, 11 stycznia 2010, 20:01

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

rikardo7 pisze:

Sorki, ale wole mój firewall. Natomiast nawet waniliowy firewall nie udostępnia usług, prawdopodonie ze względu na te ustawienia kernela. Mozesz mi wkleic wyniki tych polecen o ktore prosze?

Na górę

rikardo7

Tytuł:

: poniedziałek, 11 stycznia 2010, 21:46

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

jasne ze tak:

Cytuj:

[root@homerek rico]# cat /proc/sys/net/ipv4/conf/all/rp_filter
0
[root@homerek rico]# cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
1
[root@homerek rico]# cat /proc/sys/net/ipv4/conf/all/accept_source_route
0
[root@homerek rico]# cat /proc/sys/net/ipv4/conf/all/accept_redirects
0
[root@homerek rico]# cat /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
1
[root@homerek rico]# cat /proc/sys/net/ipv4/conf/all/log_martians
1

ale jak sie chcesz dostac z zerwnatrz do serwa to musisz otworzyc port do ssh, jezeli to jest caly Twoj firewall to nie widze na nim otwarcia uslugi ssh(standardowo port 22)

Na górę

Bastian

Tytuł:

: wtorek, 12 stycznia 2010, 17:08

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

To są domyślne ustawinia? NIestety nadal moj firewall nie dopuszcza do usług po wpisaniu zewnętrznego IP...nie kumam dlaczego..wcześniej działało.

Cytuj:

jezeli to jest caly Twoj firewall to nie widze na nim otwarcia uslugi ssh(standardowo port 22)

Przecież są regułki w firewallu

Na górę

rikardo7

Tytuł:

: wtorek, 12 stycznia 2010, 17:18

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

przeciez chyba napisalem Ci ze mam standardowe ustwienia firewalla, a znajdziesz je w /etc/iptables/firewall jezeli nie masz tego pliku bo go usunoles, to w /var/cache/pacman/pkg tam jest kopia pakietu iptables ktora masz zainstalowana, ale jak Ci sie nie chce tam zajrzec to chyba czas skonczyc dyskusje, na koniec o ile ci to wogole pomoze to masz TU ten plik,ktory jest w kazdym NND

Ostatnio zmieniony wtorek, 12 stycznia 2010, 17:20 przez rikardo7, łącznie zmieniany 1 raz

Na górę

Maciek

Tytuł:

: wtorek, 12 stycznia 2010, 17:19

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

: [/] [] ()

#ssh
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s 192.168.0.0/8 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s 192.168.0.0/8 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JA -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JA -j ACCEPT 

GeSHi © Codebox Plus

Coś te regułki dotyczące SSH są dziwne.
Otwarty jest port 5432 dla maszyn z zakresu 192.168.0.1 do 192.255.255.254 (pomijam adres sieci i rozgłoszeniowy sieci). Oznacza to, że pozwolenie na dostęp ma około 65 tysięcy komputerów i część z nich nie będzie się ex definitione znajdować w sieci prywatnej. To samo jest w przypadku portu 22.
Ostatnie dwie reguły mają sens tylko wtedy, gdy zmienna $JA to numer IP, który nie zaczyna się od 192.
Domyślam się, że chodziło o to, by dostęp do tych portów był zasadniczo wyłącznie z sieci lokalnej, ale w tym wypadku należało w regułce tylko tę sieć wpisać, np 192.168.0.0/24.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

rikardo7

Tytuł:

: wtorek, 12 stycznia 2010, 17:31

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

Macku ale Bastian chce wywarzyc otwarte dzrzwi na standartowym pliku wszystko chodzi (oprócz samby) bez zadnych dodatkowych regul.
a jak zmienil port ssh to wystarczy tylko zmnienic w pliku firewalla

Cytuj:

# zaplotkuj jesli nie chcesz udostepniac SSH do inetu
if [ "$SSH" = "1" ]; then
PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "`
[ -z $PORT_SSH ] && PORT_SSH=22
$i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT 2>$LOGFILE
fi

ale to chyba wszyscy wiedza (chyba)
EDIT
oczywiscie zmieniamy jak nie odczyta sam z pliku ssh_config

Ostatnio zmieniony wtorek, 12 stycznia 2010, 17:41 przez rikardo7, łącznie zmieniany 1 raz

Na górę

Maciek

Tytuł:

: wtorek, 12 stycznia 2010, 17:35

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Ja wiem, ze standardowy firewall chodzi. Regułki dla samby kompletnie nie są potrzebne - trzeba być ewidentnym idiotą, by sambę udostępniać do internetu.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

Bastian

Tytuł:

: wtorek, 12 stycznia 2010, 17:41

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

rikardo7 pisze:

Widze, ze pisales, ale ten konfig nie daje mi odpowiedzi na moje pytanie, dlaczego wczesniej moj konfig działał i nagle przestał. Te ustawienia, które wkleiłem powinny udostępnić mi wejscie z zewnętrznego IP (virtualne serwery ustawione na ruterze sprzętowym), a niestety nie dają..jedyne co mi przyszło na mysl to te ustawienia, o których pisałem bo własnie po ich implementacji (zbieżnosc w czasie) zauwazylem ze z IP zewn. nie moge sie nigdzie dostać (ani ssh, ani ftp) a jedynie na http..

Na górę

Maciek

Tytuł:

: wtorek, 12 stycznia 2010, 17:47

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Zamiast kombinować z firewallem i robić rzeczy, na których się nie znasz, lepiej zastosowałbys standardowy firewall - zmieniając tylko to, co niezbędne.
Twój problem jest w końcówce tego niby-firewalla:

: [/] [] ()

#ODRZUCANIE CAŁEJ RESZTY (??)
/usr/sbin/iptables -A INPUT -j DROP 

Wszystko sobie ustawiłeś i pootwierałeś, a na koniec jeszcze raz zamknąłeś.

PS. Twój produkt naprawdę jest bezsensowny.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

rikardo7

Tytuł:

: wtorek, 12 stycznia 2010, 17:51

Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń

ja jak zaczynam grzebac w czyms dzialajacym(a zwlaszcze ja ma to cos regulki firewalla) to robie sobie kopie -:)

Na górę

Bastian

Tytuł:

: wtorek, 12 stycznia 2010, 20:08

Rejestracja: czwartek, 12 lutego 2009, 15:22
Posty: 60
Lokalizacja: Poznań

Panowie...

Ja naprawde docieniam to, że NND ma świetny firewall, wcale tego nie kwestionuje. Jednak nie da się nauczyć konfiguracji iptables bazując na odpaleniu nawet najdoskonalszego skryptu i tyle. Doceniam również to, że odpowiadacie na moje posty, nawet tam gdzie nazywany jestem idiotą

Odpowiadając:

Cytuj:

Otwarty jest port 5432 dla maszyn z zakresu 192.168.0.1 do 192.255.255.254 (pomijam adres sieci i rozgłoszeniowy sieci). Oznacza to, że pozwolenie na dostęp ma około 65 tysięcy komputerów i część z nich nie będzie się ex definitione znajdować w sieci prywatnej. To samo jest w przypadku portu 22.

Racja, sensowniej jest dać 192.168.0.0/24.

Cytuj:

Ostatnie dwie reguły mają sens tylko wtedy, gdy zmienna $JA to numer IP, który nie zaczyna się od 192

Rzeczywiscie adresy dla zmiennych $JA i $JAS to zewnętrzne IP, nie z sieci prywatnej.

Cytuj:

Regułki dla samby kompletnie nie są potrzebne - trzeba być ewidentnym idiotą, by sambę udostępniać do internetu.

Samba udostępniana jest tylko i wyłącznie hostom z prywatnej puli 192.168.0.0/24. Rozumiem, że początkowe:

: [/] [] ()

/usr/sbin/iptables -P INPUT DROP

...nie zablokuje mi samby?

Cytuj:

Twój problem jest w końcówce tego niby-firewalla

Zapłotkowałem

: [/] [] ()

#/usr/sbin/iptables -A INPUT -j DROP

Jednak nadal z zewnątrz (zewn. IP) nie mam dostępu do usług. Swoja droga po lokalnym IP moglem lączyc sie z serwerem.

: [/] [] ()

ja jak zaczynam grzebac w czyms dzialajacym(a zwlaszcze ja ma to cos regulki firewalla) to robie sobie kopie 

Słusznie. Uznałem mylnie, że przy iptables -F zresetuje mi sie wszystko, a przecież te wartości sie nie zresetują.[/code]

Na górę

Maciek

Tytuł:

: wtorek, 12 stycznia 2010, 21:08

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Zawsze marzyłem, żeby być jak ci doktorzy z "Na dobre i na złe", mam już skalpel, położysz mi się pod nóż?

Nie eksperymentuje się na żywym organizmie.
Zainstaluj sobie Virtualboxa i na nim wirtualną sieć, a wtedy możesz się bawić do woli.
Oczywiście doceniam to, że chcesz się uczyć, ale nie wypuszcza się kursanta samodzielnie na ulice metropolii, jeśli wiemy, że właśnie pierwszy raz siadł za kierownicę. Potrzeba ci trochę teorii, bez niej cała ta zabawa nie ma sensu. Zciech podawał adres www.netfilter.org - zacznij czytać, mam nadzieję, ze angielski nie będzie problemem.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

Strona 21 z 22

[ Posty: 422 ]

Przejdź na stronę Poprzednia 1 ... 18, 19, 20, 21, 22 Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 75 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników