Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 13:42

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 44 ]  Przejdź na stronę 1, 2, 3  Następna
Autor Wiadomość
Post: wtorek, 27 grudnia 2005, 01:57 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
Planowana jest zmiana w działaniu wbudowanego firewala.

Pytanie brzmi czy funkcja:
/etc/rc.d/iptables stop

ma jak do tej pory zamykać na głucho serwer czy tez moze wręcz przeciwnie otwierać i włączać nat dla wszystkich?

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 02:37 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Skoro firewall jest wylaczony, to powinno byc tak jakby nie byl nigdy instalowany, czyli -P ACCEPT dla wszystkich lancuchow. Przy okazji, jak ktos mialby problemy z zalogowaniem sie (np. na webmina), czy przekierowaniem, to szybciej mozna by wykluczyc zle skonfigurowanego firewalla.
BTW. Mozna by dorzucic zakomentowany przyklad przekierowania portow, bo to dalej sprawia problemy.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 02:59 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
tasiorek pisze:
Skoro firewall jest wylaczony, to powinno byc tak jakby nie byl nigdy instalowany, czyli -P ACCEPT dla wszystkich lancuchow. Przy okazji, jak ktos mialby problemy z zalogowaniem sie (np. na webmina), czy przekierowaniem, to szybciej mozna by wykluczyc zle skonfigurowanego firewalla.
BTW. Mozna by dorzucic zakomentowany przyklad przekierowania portow, bo to dalej sprawia problemy.


Może się usprawiedliwię, bo to z mojego powodu jest tak jak jest. Otóż do tej pory zawsze polecenie firewall stop blokowało system na głucho. Tak było w kilku dystrybucjach ktorych używałem. I tak zrobione to zostałow w NND. Wiem że powodowało to problemy. Sąd planowana zmiana w firewalu. Chcemy aby była możliwość kompletnej blokady, kompletnego otwarcia plus to co do tej pory. Ta ankieta wynika właśnie z dyskusji jak te funkcje nazwać. Chcielibyśy aby było to logiczne dla większości użytkowników. Pozostali będa się musieli niestety przyzwyczaić do nowej terminologii...
Dodam rowniez że zmiany we wbudowanym firewallu będą również obejmowały dodanie możliwości prostego blokowania hostów i forwardu portów.
Stay tuned...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 09:34 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Moje zdanie : "firewall stop" w mojej interpretacji oznacza wyłączenie zabezpieczeń , więc przepuszczenie pakietów wszelkich . Czy maskarada powinna być automatycznie dla wszystkich , to już dla mnie znaczenia nie ma. Moje propozycje : "firewall stop" - wszystko przepuszcza , "firewall blok" - wszystko blokuje no i standardowo "firewall start" - użycie reguł z firewalla . Można się pokusić o jakieś parametry zwraz z uruchomieniem , np : "firewall stop -m" - przepuszcza wszystko z włączeniem maskarady itp. , ale łatwo jest proponować a ktoś to musi napisać :wink: .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 11:34 
Offline
Użytkownik

Rejestracja: piątek, 7 października 2005, 01:04
Posty: 240
Lokalizacja: Sosnowiec
Krótko mówiąc - jestem na TAK 8)
STOP - powinno wyłączać firewalla tak jak wyłącza pozostałe funkcje i usługi :)

_________________
Pozdrawiam
Damiano
---------------
Pomogłem :?: Kliknij ikonkę "Pomógł" 8)
Miejcie litość - ja dopiero zaczynam ;)
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 12:14 
Offline
Użytkownik

Rejestracja: sobota, 26 listopada 2005, 07:47
Posty: 864
popieram -
STOP: otwiera wszystko
BLOCK: zamyka wszystko


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 27 grudnia 2005, 18:55 
Offline

Rejestracja: czwartek, 11 listopada 2004, 22:22
Posty: 23
Jestem dokładnie za takim samym rozwiazaniem :).

Pozdrawiam!!


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 20:55 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Uważam, że działanie jak teraz funkcjonuje jest bardziej naturalne (BEZPIECZNE dla wszystkich).
Jeśli ktoś chce wszystko odblokować to niech nie dopisuje firewalla do daemonów i uruchomi sobie własny skrypt iptables lub klepie ręcznie regułki.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 21:09 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
KrzySie pisze:
Uważam, że działanie jak teraz funkcjonuje jest bardziej naturalne (BEZPIECZNE dla wszystkich).
Jeśli ktoś chce wszystko odblokować to niech nie dopisuje firewalla do daemonów i uruchomi sobie własny skrypt iptables lub klepie ręcznie regułki.


Dobrze się zastanów o czym mówisz . Nie rozumiem Twojego wywodu - jaśniej proszę :wink:

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 22:26 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Albercik pisze:
Dobrze się zastanów o czym mówisz . Nie rozumiem Twojego wywodu - jaśniej proszę :wink:

Dobrze jest jak jest teraz.
Nie robić żadnych zmian.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 22:28 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
KrzySie pisze:
Albercik pisze:
Dobrze się zastanów o czym mówisz . Nie rozumiem Twojego wywodu - jaśniej proszę :wink:

Dobrze jest jak jest teraz.
Nie robić żadnych zmian.


Uzasadnij proszę .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 22:44 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Albercik pisze:
Uzasadnij proszę .

Ponieważ uważam, że stop to tak jakby firewalla nie było. W tym momencie nie powinien router pozwalać na dostęp do zasobów w sieci wewnętrznej (brak natowania).

Bezpieczeństwo sieci to podstawa. :idea:

Wygoda nie ma znaczenia.
Chcesz -P ACCEPT to sobie wpisz.
Ponadto każda dystrybucja jak wymienili przedmówcy tak się zachowuje -P DROP. Nie róbmy fuszerki.
Proponuję zrobić sobie skrypt np. otwarcie.sieci, który będzie robił stop firewalla i ustawi politykę na accept i pozwoli na translację adresów.
Ja napewno nie będę z niego korzystał.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 23:07 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
KrzySie pisze:
Ponieważ uważam, że stop to tak jakby firewalla nie było. W tym momencie nie powinien router pozwalać na dostęp do zasobów w sieci wewnętrznej (brak natowania).


Tak myślałem - po prostu nie wiesz o czym mówisz . Natowanie nie ma nic wspólnego z dostępem z zewnątrz , wręcz odwrotnie - pozwala na wypuszczenie maskowanych userów w świat . Po to mają być te opcje z literkami abyś się nie pozabijał - to , co jest zostanie .

Cytuj:
Bezpieczeństwo sieci to podstawa. :idea:


Tak , pod warunkiem ,że wiesz o czym mówisz .

Cytuj:
Wygoda nie ma znaczenia.

Chyba na prawdę nie łapiesz idei firewalla ....
Cytuj:
Chcesz -P ACCEPT to sobie wpisz.
Ponadto każda dystrybucja jak wymienili przedmówcy tak się zachowuje -P DROP. Nie róbmy fuszerki.
Proponuję zrobić sobie skrypt np. otwarcie.sieci, który będzie robił stop firewalla i ustawi politykę na accept i pozwoli na translację adresów.
Ja napewno nie będę z niego korzystał.


I dokładnie po to jest wywołanie firewalla z parametrami , abyś TY i Tobie podobni radzili sobie z takimi skryptami . Firewall to pewna aplikacja - po jej zamknięciu nie powinno pozostać po niej śladu . Wywołanie z maskaradą czy bez to już inna bajka , ale dobrze byłoby , aby można było wywłołać funkcję maskarady dla wszystkich lub całkowicie ją wyłączyć . Jeżeli uważasz , że wyłączenie firewalla powinno powodować całkowite zablokowanie dostępu do serwera to odpowiedz mi na pytanie : czy zdemontowane szlabany z przejazdu kolejowego nadal go blokują i do tego na stałę?

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 9 stycznia 2006, 23:39 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Albercik pisze:
Tak myślałem - po prostu nie wiesz o czym mówisz . Natowanie nie ma nic wspólnego z dostępem z zewnątrz , wręcz odwrotnie - pozwala na wypuszczenie maskowanych userów w świat . Po to mają być te opcje z literkami abyś się nie pozabijał - to , co jest zostanie .

Ale jak będziesz miał politykę na ACCEPT to i w drugą stronę.
Albercik pisze:
Chyba na prawdę nie łapiesz idei firewalla ....

Może....
Albercik pisze:
I dokładnie po to jest wywołanie firewalla z parametrami , abyś TY i Tobie podobni radzili sobie z takimi skryptami . Firewall to pewna aplikacja - po jej zamknięciu nie powinno pozostać po niej śladu . Wywołanie z maskaradą czy bez to już inna bajka , ale dobrze byłoby , aby można było wywłołać funkcję maskarady dla wszystkich lub całkowicie ją wyłączyć . Jeżeli uważasz , że wyłączenie firewalla powinno powodować całkowite zablokowanie dostępu do serwera to odpowiedz mi na pytanie : czy zdemontowane szlabany z przejazdu kolejowego nadal go blokują i do tego na stałę?

Czyli sam sobie zaprzeczasz.
Maskarada to nie NAT według ciebie?:oops:
A czy zlikwidowanie dojazdu zablokuje przejazd?

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 00:22 
Offline
Użytkownik

Rejestracja: sobota, 26 listopada 2005, 07:47
Posty: 864
KrzySie: wg Wikipedii
Cytuj:
firewall – zapora ogniowa, ściana ognia) - jeden ze sposobów zabezpieczania sieci/komputera/serwera przed intruzami. Termin określający sprzęt komputerowy wraz ze specjalnym oprogramowaniem bądź samo oprogramowanie blokujące niepowołany dostęp do sieci komputerowej, komputera, serwera itp. na której straży stoi.


Tak więc Firewall to nie droga, a szlaban. Tym samym stop szlabanu = stop zakazom = droga wolna. A że jest mało bezpieczne... kto komu każe używać tego na codzień. Czasem się przydaje, żeby wykluczyć rolę serwera w problemach.
A co do opcij to proponuję
start, restart -tak jak jest
stopm - otwórz wszystko, zostaw maskaradę
stop - otwórz wszystko, wyłącz maskaradę
blok - zamknij na głucho


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 00:33 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
marask pisze:
A co do opcij to proponuję
start, restart -tak jak jest
stopm - otwórz wszystko, zostaw maskaradę
stop - otwórz wszystko, wyłącz maskaradę
blok - zamknij na głucho

Masz tutaj dużo racji z wyjątkiem jednego - skrypty pracują wg. jakiegoś schematu (stop, start i restart).
Co zrobi z tym skryptem ktoś kto nie umie języka polskiego?
Dasz wyjaśnienie i po angielsku?
Jestem dalej za stworzeniem oddzielnego skryptu i nie mieszaniu w firewallu.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 00:50 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
NND jest dla Polakow, wiec firewall w niego wbudowany tez. Poza tym faktycznie skrypty pracuja weglug schematu i stop oznacza wylaczenie skryptu, czyli tak jakby go nie bylo. Idac po klebku do sznurka zrobienie, tak jakby nigdy nie bylo firewalla, to zmiana polityki wszystkich lancuchow na ACCEPT, prawda? Czy ja sie czasem nie powtarzam :twisted:


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 00:59 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
marask pisze:
A co do opcij to proponuję
start, restart -tak jak jest


to oczywiste

marask pisze:
stopm - otwórz wszystko, zostaw maskaradę
stop - otwórz wszystko, wyłącz maskaradę
blok - zamknij na głucho


a tu mam takie wątpliwości:

stop i stopm - zbyt mała różnica, uważam że to spowoduje więcej problemów niż zysków.
Poza tym wytłumacz jak sobie wyobrażasz różnicę między tymi opcjami.

Natomiast stop i blok również mają zbliżone znaczenia. I znów sądzę że będą powodem pomyłek.

Ja bym sugerował następujące nazwy i funkcje:

start - uruchamia firewall z zaprogramowanymi regułami dostępu
stop - zatrzymuje dostęp do serwera i sieci wewnętrznej (wszystkie łańcuchy na DROP)
open - ustawia wszystkie łańcuchy na ACCEPT
restart - stop; start

więcej opcji tylko by zagmatwało sytuację i utrudniło życie. Powyższe propozycje zaś, wydają MI sie logiczne i mające znaczenie podobne jak w języku potocznym. A co za tym idzie będą łatwe do zapamiętania.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 00:59 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
tasiorek pisze:
Idac po klebku do sznurka zrobienie, tak jakby nigdy nie bylo firewalla, to zmiana polityki wszystkich lancuchow na ACCEPT, prawda?

Tu zgodził bym się z takim twierdzeniem jeżeli wrócilibyśmy do punktu wyjścia, czyli wogóle nie uruchamiali wcześniej iptables.
Jaka będzie polityka bez iptables :?:
Żadna :!:
Czyli DROP :!:

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:01 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Obawiam sie, ze jestes w bledzie, bedzie ACCEPT


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 44 ]  Przejdź na stronę 1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 16 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl