Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 14:23

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 44 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna
Autor Wiadomość
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:05 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
KrzySie pisze:
Co zrobi z tym skryptem ktoś kto nie umie języka polskiego?
Dasz wyjaśnienie i po angielsku?


nietrafiony argument - żaden z naszych scriptów nie ma tłumaczenia i nie zanosi się aby kiedykolwiek miał.

KrzySie pisze:
Jestem dalej za stworzeniem oddzielnego skryptu i nie mieszaniu w firewallu.


W tej ankiecie nie chodzi o mieszanie w firewallu, chodzi o script startowy /etc/rc.d/iptables

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:06 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
tasiorek pisze:
Obawiam sie, ze jestes w bledzie, bedzie ACCEPT

Może... nie wiem.
Natomiast nie będzie translacji adresów (NAT,maskarady jak kto woli).

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:11 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Tak przy okazji przypomnialo mi sie, ze mozna by dodac tez cos takiego jak to: http://tasior.iglu.cz/nnd/fw.test . Oczywiscie z trzykrotnym :P zapytaniem czy jestes pewny i czy wiesz co robisz. Pomogloby w to wykluczeniu problemow z firewallem (cos jak proponowane stop, ale z maskarada).


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:14 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Mis' pisze:

Ja bym sugerował następujące nazwy i funkcje:

start - uruchamia firewall z zaprogramowanymi regułami dostępu
stop - zatrzymuje dostęp do serwera i sieci wewnętrznej (wszystkie łańcuchy na DROP)
open - ustawia wszystkie łańcuchy na ACCEPT
restart - stop; start

Pewna niekonsekwencja, bo robię iptables open i później restart.
Co otrzymujemy? start.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:16 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
tasiorek pisze:
Tak przy okazji przypomnialo mi sie, ze mozna by dodac tez cos takiego jak to: http://tasior.iglu.cz/nnd/fw.test . Oczywiscie z trzykrotnym :P zapytaniem czy jestes pewny i czy wiesz co robisz. Pomogloby w to wykluczeniu problemow z firewallem (cos jak proponowane stop, ale z maskarada).


I to pewnym ludzim by wystarczyło :wink:

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:17 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
KrzySie pisze:
Mis' pisze:

Ja bym sugerował następujące nazwy i funkcje:

start - uruchamia firewall z zaprogramowanymi regułami dostępu
stop - zatrzymuje dostęp do serwera i sieci wewnętrznej (wszystkie łańcuchy na DROP)
open - ustawia wszystkie łańcuchy na ACCEPT
restart - stop; start

Pewna niekonsekwencja, bo robię iptables open i później restart.
Co otrzymujemy? start.


a co według ciebie powinieneś otrzymać?

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:25 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Mis' pisze:
a co według ciebie powinieneś otrzymać?

Logika mi mówi ze:
Iptables restart z iptables open powinno dawać iptables open.
Czy to możliwe? Potrzebne?

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:35 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
KrzySie pisze:
Mis' pisze:
a co według ciebie powinieneś otrzymać?

Logika mi mówi ze:
Iptables restart z iptables open powinno dawać iptables open.
Czy to możliwe? Potrzebne?


możliwe - oczywiście. Wystarczy w jakiejś zmiennej (last_option) zapamiętać opcję z którą był script ostatnio wywołany i w opcji restart stop $last_option.
Potrzebne? Zdecydowanie nie... pomyśl - masz "open" to po co dawać restert zeby znów mieć "open"?

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:42 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Tu sie nie zgodze. Jak cos namieszasz, to juz nie masz open. Rozumujac w ten sposob opcja restart tez nie bylaby potrzebna. Tylko tutaj pojawia sie kolejny problem, albo trzebaby dodac opcje reopen, restop, reclose itp. (pozniej problemy typu: nie mozesz wykonac reopen, bo firewall byl uruchomoiny z parametrem start), lub jak proponuje Mis dodac zmienna last_option, tylko wtedy terzba bedzie grzebac w plikach zeby dowiedziec sie do robi restart, jak sie zapomni z jakim parametrem uruchamialo sie ostatnio firewalla.
Wydaje mi sie, ze nikt sie nie zmeczy jak wpisze restart, a pozniej open


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 stycznia 2006, 01:46 
Offline
Użytkownik

Rejestracja: wtorek, 8 lutego 2005, 13:51
Posty: 456
Lokalizacja: Kielce
Mis' pisze:
Potrzebne? Zdecydowanie nie... pomyśl - masz "open" to po co dawać restert zeby znów mieć "open"?

Masz rację w tym co napisałeś - nie chciałbym. Natomiast dalej nielogiczne z punktu "czystej" logiki.
Wchodzenie dalej w ten temat uważam za zbędne.
Rozwiązanie http://tasior.iglu.cz/nnd/fw.test + dodanie tam iptables stop przy starcie skryptu oraz start przy stopowaniu.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 18:47 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
Sytuacja dojrzała do zmian:
http://nnd.reliserv.pl/Nowe_NND/forward/
Znajdują się komponenty nowego rozwiązania firewala połaczonego z forwardem. Całośc sklada sie z czterech plikow, iptables i firewall zastępują juz istniejace w systemie. Dokładny opis:
http://nnd.reliserv.pl/Nowe_NND/forward/czytaj.html
Istnieje możliwosc kontroli IP w sieci wewnetrznej.
Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep do serwera i internetu.
przyklad pliku /etc/conf.d/hosts (mozna skopiowac plik /etc/hosts wykasowując zbędne wpisy:
: [/] [] ()
192.168.0.2
192.168.0.3
192.168.0.4
192.168.0.10
192.168.0.22
192.168.0.55
192.168.0.101
192.168.0.102

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 19:26 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
zciech pisze:
Sytuacja dojrzała do zmian:
http://nnd.reliserv.pl/Nowe_NND/forward
[ciach reszta]


kilka pytań przed dokładniejszym zapoznaniem się ze scriptami:

1. czy ten script uwzględnia wpisy w r.conf? (te otwierające porty dla różnych usług)
2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts?
3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku?
4. Co sugerujesz - mozna to włączyć do pakietu iptables (jak dotychczasowy firewall) lub stworzyć osobny pakiet firewall a dotychczasowy firewall usunąć z pakietu iptables?
5. jak bardzo te scripty są przetestowane? Można włączyć do oficjalnego pakietu czy jeszcze nie?
6. Dziękujemy Bardzo!

EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Ostatnio zmieniony środa, 22 listopada 2006, 19:39 przez Mis', łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 19:36 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
: [/] [] ()
/etc/rc.d/iptables restart
NND: Zatrzymuję Firewall, wszystko jest otwarte                                                                                                   [Wykonane]
NND: Uruchamiam Firewall                                                                                                                          [Trwa....] Bad argument `0/0'
Try `iptables -h' or 'iptables --help' for more information.
                                                                                                                                                  [Wykonane]
NND: Stopping MRTG                                                                                                                                [Wykonane]
NND: Starting MRTG                                                                                                                                [Wykonane]

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 19:44 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
1. czy ten script uwzględnia wpisy w r.conf? (te otwierające porty dla różnych usług)
Oczywiscie jest to tensam skrypt jedyna roznica to zmiana stop/panic, uruchamianie forwardu i wpuszczanie hostow w/d hosts

2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts?
Jesli to zrobi nnd_conf

3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku?
Dostep beda mialy tylko wpisane do hosts. Więcej wiary w ludzi.

4. Co sugerujesz - mozna to włączyć do pakietu iptables (jak dotychczasowy firewall) lub stworzyć osobny pakiet firewall a dotychczasowy firewall usunąć z pakietu iptables?
Mysle ze mozna to po przetestowaniu wlozyc do iptables

5. jak bardzo te scripty są przetestowane? Można włączyć do oficjalnego pakietu czy jeszcze nie?
Skrypty pochodza z dzilajacych rozwiazan aczkolwiek wymagaja pewnego czasu na przetestowanie.

6. Dziękujemy Bardzo!
Nie da sie stworzyc skryptow calkowicie glupotoodpornych.

EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba...
Nie jest konieczne, ale zrestartowanie firewala powoduje, że są kasowane reguły przekierowujące do łańcuchów liczących i te łańcuchy. Zrestartoowanie mrtg i stat czy tez innych programów/skryptów, które "mieszaja" w firwealu jest w takim wypadku konieczne dla prawidłowej ich pracy. Oczywiście można skorzystac z rozwiązania freescowego i w kazdym pliku startowym stworzyć sekcje firewall :)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Ostatnio zmieniony niedziela, 11 marca 2007, 12:35 przez zciech, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 19:53 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
hx pisze:
: [/] [] ()
Bad argument `0/0'
Try `iptables -h' or 'iptables --help' for more information.
                                                                                                                           

Powinno byc juz dobrze:
http://nnd.reliserv.pl/Nowe_NND/forward/forward.sh

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 20:00 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
zciech pisze:
Cytuj:
2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts?

Jesli to zrobi nnd_conf


nndconf jest tylko narzędziem do uruchamiania scriptów konfigurujących. O ile dobrze zrozumiałem to co napisałeś to jeśli pliku hosts nie ma to każdy podłączony komputer ma dostęp do internetu, jeśli plik hosts istnieje to tylko te których adresy są w tym pliku. Dobrze rozumiem?
Widzę tu chyba pewien problem ale o tym kiedy indziej.

zciech pisze:
Cytuj:
3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku?

Dostep beda mialy tylko wpisane do hosts. Więcej wiary w ludzi.


czyli jesli plik będzie pusty to żaden komputer nie będzie miał dostępu. Hm... zadbałbym aby ten plik był zabezpieczony przynajmniej tak samo jak shadow... a co do wiary w ludzi to to forum mnie z niej wyleczyło dośc skutecznie. A poważnie mówiąc to literówki się zdarzają, szczególnie mniej doświadczonym w używaniu konsolowych edytorów. Ja bym dodał sprawdzanie czy dana linia ma format adresu IP i czy ten adres jest zgodny z adresem sieci.

zciech pisze:
Nie da sie stworzyc skryptow calkowicie glupotoodpornych.


To wiem, ale można zrobić bardziej głupotoodporne...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 20:20 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
2. powinienem napisac net_conf poczatkowo korzystalem z /etc/hosts ale w nim sa pewne linie ktore nie sa zbyt odpowiednie dla iptables.
3. normalnie to go tam nie ma to nie ma problemu a jak ktos go utworzy to powinien i go zapełnic :) w czym mu zapewene jego userzy szybko pomoga :twisted:
Co do zlych adresow to linia ktora bedzie miala zle dane zakonczy sie bledem iptables

Gdyby nie zmiany z parametrami stop/panic/restore to sa jedyne istotne zmiany w skrypcie firewall:

: [/] [] ()
    #FORWARD
    [ -x /etc/iptables/forward.sh ] && /etc/iptables/forward.sh

    # Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep
    if [ ! -f /etc/conf.d/hosts ]; then
        # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
        $i -A INPUT -i ! $EXTIF  -j ACCEPT
        $i -A FORWARD -i ! $EXTIF -j ACCEPT
        # i maskujemy
        if [ "$NETWORK" = "1" ]; then
            $i -t nat -A POSTROUTING  -o $EXTIF -j MASQUERADE
        fi
    else
        grep "^" /etc/conf.d/hosts | grep -v "^#"|grep [0123456789] |while read IP nazwa ; do
            $i -A INPUT -s $IP -i ! $EXTIF  -j ACCEPT
            $i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT
            if [ "$NETWORK" = "1" ]; then
                $i -t nat -A POSTROUTING  -s $IP -o $EXTIF -j MASQUERADE
            fi
        done
    fi

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 20:36 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
zciech pisze:
hx pisze:
: [/] [] ()
Bad argument `0/0'
Try `iptables -h' or 'iptables --help' for more information.
                                                                                                                           

Powinno byc juz dobrze:
http://nnd.reliserv.pl/Nowe_NND/forward/forward.sh


dzięki teraz jest ok

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 20:54 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
Cytuj:
EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba..


Niestety tak. mrtg i statmaty tworzą wlasne lancuchy iptables do pomiaru transferu. restart firewala kasuje te lancuchy a przynajmnij jeden:
Chain FORWARD (policy DROP 4 packets, 222 bytes)
pkts bytes target prot opt in out source destination
614K 345M mrtg_traffic all -- * * 0.0.0.0/0 0.0.0.0/0
i nici ze zliczania :)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 22 listopada 2006, 20:57 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
zciech pisze:
Cytuj:
EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba..


Niestety tak. mrtg i statmaty tworzą wlasne lancuchy iptables do pomiaru transferu. restart firewala kasuje te lancuchy a przynajmnij jeden:
Chain FORWARD (policy DROP 4 packets, 222 bytes)
pkts bytes target prot opt in out source destination
614K 345M mrtg_traffic all -- * * 0.0.0.0/0 0.0.0.0/0
i nici ze zliczania :)


czyli w zależnościch mrtg trzeba dodać iptables i ewentualnie firewall? hm...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 44 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 19 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl