| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Zmiany w firewalu http://forum.freesco.pl/viewtopic.php?f=24&t=10462 |
Strona 2 z 3 |
| Autor: | Mis' [ wtorek, 10 stycznia 2006, 01:05 ] |
| Tytuł: | |
KrzySie pisze: Co zrobi z tym skryptem ktoś kto nie umie języka polskiego? Dasz wyjaśnienie i po angielsku? nietrafiony argument - żaden z naszych scriptów nie ma tłumaczenia i nie zanosi się aby kiedykolwiek miał. KrzySie pisze: Jestem dalej za stworzeniem oddzielnego skryptu i nie mieszaniu w firewallu.
W tej ankiecie nie chodzi o mieszanie w firewallu, chodzi o script startowy /etc/rc.d/iptables |
|
| Autor: | KrzySie [ wtorek, 10 stycznia 2006, 01:06 ] |
| Tytuł: | |
tasiorek pisze: Obawiam sie, ze jestes w bledzie, bedzie ACCEPT
Może... nie wiem. Natomiast nie będzie translacji adresów (NAT,maskarady jak kto woli). |
|
| Autor: | tasiorek [ wtorek, 10 stycznia 2006, 01:11 ] |
| Tytuł: | |
Tak przy okazji przypomnialo mi sie, ze mozna by dodac tez cos takiego jak to: http://tasior.iglu.cz/nnd/fw.test . Oczywiscie z trzykrotnym  zapytaniem czy jestes pewny i czy wiesz co robisz. Pomogloby w to wykluczeniu problemow z firewallem (cos jak proponowane stop, ale z maskarada).
|
|
| Autor: | KrzySie [ wtorek, 10 stycznia 2006, 01:14 ] |
| Tytuł: | |
Mis' pisze: Ja bym sugerował następujące nazwy i funkcje: start - uruchamia firewall z zaprogramowanymi regułami dostępu stop - zatrzymuje dostęp do serwera i sieci wewnętrznej (wszystkie łańcuchy na DROP) open - ustawia wszystkie łańcuchy na ACCEPT restart - stop; start Pewna niekonsekwencja, bo robię iptables open i później restart. Co otrzymujemy? start. |
|
| Autor: | KrzySie [ wtorek, 10 stycznia 2006, 01:16 ] |
| Tytuł: | |
tasiorek pisze: Tak przy okazji przypomnialo mi sie, ze mozna by dodac tez cos takiego jak to: http://tasior.iglu.cz/nnd/fw.test . Oczywiscie z trzykrotnym
zapytaniem czy jestes pewny i czy wiesz co robisz. Pomogloby w to wykluczeniu problemow z firewallem (cos jak proponowane stop, ale z maskarada).I to pewnym ludzim by wystarczyło 
|
|
| Autor: | Mis' [ wtorek, 10 stycznia 2006, 01:17 ] |
| Tytuł: | |
KrzySie pisze: Mis' pisze: Ja bym sugerował następujące nazwy i funkcje: start - uruchamia firewall z zaprogramowanymi regułami dostępu stop - zatrzymuje dostęp do serwera i sieci wewnętrznej (wszystkie łańcuchy na DROP) open - ustawia wszystkie łańcuchy na ACCEPT restart - stop; start Pewna niekonsekwencja, bo robię iptables open i później restart. Co otrzymujemy? start. a co według ciebie powinieneś otrzymać? |
|
| Autor: | KrzySie [ wtorek, 10 stycznia 2006, 01:25 ] |
| Tytuł: | |
Mis' pisze: a co według ciebie powinieneś otrzymać?
Logika mi mówi ze: Iptables restart z iptables open powinno dawać iptables open. Czy to możliwe? Potrzebne? |
|
| Autor: | Mis' [ wtorek, 10 stycznia 2006, 01:35 ] |
| Tytuł: | |
KrzySie pisze: Mis' pisze: a co według ciebie powinieneś otrzymać? Logika mi mówi ze: Iptables restart z iptables open powinno dawać iptables open. Czy to możliwe? Potrzebne? możliwe - oczywiście. Wystarczy w jakiejś zmiennej (last_option) zapamiętać opcję z którą był script ostatnio wywołany i w opcji restart stop $last_option. Potrzebne? Zdecydowanie nie... pomyśl - masz "open" to po co dawać restert zeby znów mieć "open"? |
|
| Autor: | tasiorek [ wtorek, 10 stycznia 2006, 01:42 ] |
| Tytuł: | |
Tu sie nie zgodze. Jak cos namieszasz, to juz nie masz open. Rozumujac w ten sposob opcja restart tez nie bylaby potrzebna. Tylko tutaj pojawia sie kolejny problem, albo trzebaby dodac opcje reopen, restop, reclose itp. (pozniej problemy typu: nie mozesz wykonac reopen, bo firewall byl uruchomoiny z parametrem start), lub jak proponuje Mis dodac zmienna last_option, tylko wtedy terzba bedzie grzebac w plikach zeby dowiedziec sie do robi restart, jak sie zapomni z jakim parametrem uruchamialo sie ostatnio firewalla. Wydaje mi sie, ze nikt sie nie zmeczy jak wpisze restart, a pozniej open |
|
| Autor: | KrzySie [ wtorek, 10 stycznia 2006, 01:46 ] |
| Tytuł: | |
Mis' pisze: Potrzebne? Zdecydowanie nie... pomyśl - masz "open" to po co dawać restert zeby znów mieć "open"?
Masz rację w tym co napisałeś - nie chciałbym. Natomiast dalej nielogiczne z punktu "czystej" logiki. Wchodzenie dalej w ten temat uważam za zbędne. Rozwiązanie http://tasior.iglu.cz/nnd/fw.test + dodanie tam iptables stop przy starcie skryptu oraz start przy stopowaniu. |
|
| Autor: | zciech [ środa, 22 listopada 2006, 18:47 ] |
| Tytuł: | |
Sytuacja dojrzała do zmian: http://nnd.reliserv.pl/Nowe_NND/forward/ Znajdują się komponenty nowego rozwiązania firewala połaczonego z forwardem. Całośc sklada sie z czterech plikow, iptables i firewall zastępują juz istniejace w systemie. Dokładny opis: http://nnd.reliserv.pl/Nowe_NND/forward/czytaj.html Istnieje możliwosc kontroli IP w sieci wewnetrznej. Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep do serwera i internetu. przyklad pliku /etc/conf.d/hosts (mozna skopiowac plik /etc/hosts wykasowując zbędne wpisy: 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.10 192.168.0.22 192.168.0.55 192.168.0.101 192.168.0.102 |
|
| Autor: | Mis' [ środa, 22 listopada 2006, 19:26 ] |
| Tytuł: | |
zciech pisze:
kilka pytań przed dokładniejszym zapoznaniem się ze scriptami: 1. czy ten script uwzględnia wpisy w r.conf? (te otwierające porty dla różnych usług) 2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts? 3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku? 4. Co sugerujesz - mozna to włączyć do pakietu iptables (jak dotychczasowy firewall) lub stworzyć osobny pakiet firewall a dotychczasowy firewall usunąć z pakietu iptables? 5. jak bardzo te scripty są przetestowane? Można włączyć do oficjalnego pakietu czy jeszcze nie? 6. Dziękujemy Bardzo! EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba... |
|
| Autor: | hx [ środa, 22 listopada 2006, 19:36 ] |
| Tytuł: | |
/etc/rc.d/iptables restart NND: Zatrzymuję Firewall, wszystko jest otwarte [Wykonane] NND: Uruchamiam Firewall [Trwa....] Bad argument `0/0' Try `iptables -h' or 'iptables --help' for more information. [Wykonane] NND: Stopping MRTG [Wykonane] NND: Starting MRTG [Wykonane] |
|
| Autor: | zciech [ środa, 22 listopada 2006, 19:44 ] |
| Tytuł: | |
1. czy ten script uwzględnia wpisy w r.conf? (te otwierające porty dla różnych usług) Oczywiscie jest to tensam skrypt jedyna roznica to zmiana stop/panic, uruchamianie forwardu i wpuszczanie hostow w/d hosts 2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts? Jesli to zrobi nnd_conf 3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku? Dostep beda mialy tylko wpisane do hosts. Więcej wiary w ludzi. 4. Co sugerujesz - mozna to włączyć do pakietu iptables (jak dotychczasowy firewall) lub stworzyć osobny pakiet firewall a dotychczasowy firewall usunąć z pakietu iptables? Mysle ze mozna to po przetestowaniu wlozyc do iptables 5. jak bardzo te scripty są przetestowane? Można włączyć do oficjalnego pakietu czy jeszcze nie? Skrypty pochodza z dzilajacych rozwiazan aczkolwiek wymagaja pewnego czasu na przetestowanie. 6. Dziękujemy Bardzo! Nie da sie stworzyc skryptow calkowicie glupotoodpornych. EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba... Nie jest konieczne, ale zrestartowanie firewala powoduje, że są kasowane reguły przekierowujące do łańcuchów liczących i te łańcuchy. Zrestartoowanie mrtg i stat czy tez innych programów/skryptów, które "mieszaja" w firwealu jest w takim wypadku konieczne dla prawidłowej ich pracy. Oczywiście można skorzystac z rozwiązania freescowego i w kazdym pliku startowym stworzyć sekcje firewall 
|
|
| Autor: | zciech [ środa, 22 listopada 2006, 19:53 ] |
| Tytuł: | |
hx pisze: Bad argument `0/0' Try `iptables -h' or 'iptables --help' for more information. Powinno byc juz dobrze: http://nnd.reliserv.pl/Nowe_NND/forward/forward.sh |
|
| Autor: | Mis' [ środa, 22 listopada 2006, 20:00 ] |
| Tytuł: | |
zciech pisze: Cytuj: 2. czy jest szansa, że w przyszłej wersji script konfiguracyjny będzie potrafił stworzyć i dodać odpowiednie wpisy do pliku hosts? Jesli to zrobi nnd_conf nndconf jest tylko narzędziem do uruchamiania scriptów konfigurujących. O ile dobrze zrozumiałem to co napisałeś to jeśli pliku hosts nie ma to każdy podłączony komputer ma dostęp do internetu, jeśli plik hosts istnieje to tylko te których adresy są w tym pliku. Dobrze rozumiem? Widzę tu chyba pewien problem ale o tym kiedy indziej. zciech pisze: Cytuj: 3. co się stanie jeśli plik hosts istnieje ale jest pusty? Zaden komputer nie bedzie miał dostepu do internetu? wszystkie? Czy jest jakiś mechanizm zabezpieczający przed głupimi wpisami w tym pliku? Dostep beda mialy tylko wpisane do hosts. Więcej wiary w ludzi. czyli jesli plik będzie pusty to żaden komputer nie będzie miał dostępu. Hm... zadbałbym aby ten plik był zabezpieczony przynajmniej tak samo jak shadow... a co do wiary w ludzi to to forum mnie z niej wyleczyło dośc skutecznie. A poważnie mówiąc to literówki się zdarzają, szczególnie mniej doświadczonym w używaniu konsolowych edytorów. Ja bym dodał sprawdzanie czy dana linia ma format adresu IP i czy ten adres jest zgodny z adresem sieci. zciech pisze: Nie da sie stworzyc skryptow calkowicie glupotoodpornych.
To wiem, ale można zrobić bardziej głupotoodporne... |
|
| Autor: | zciech [ środa, 22 listopada 2006, 20:20 ] |
| Tytuł: | |
2. powinienem napisac net_conf poczatkowo korzystalem z /etc/hosts ale w nim sa pewne linie ktore nie sa zbyt odpowiednie dla iptables. 3. normalnie to go tam nie ma to nie ma problemu a jak ktos go utworzy to powinien i go zapełnic w czym mu zapewene jego userzy szybko pomoga 
Co do zlych adresow to linia ktora bedzie miala zle dane zakonczy sie bledem iptables Gdyby nie zmiany z parametrami stop/panic/restore to sa jedyne istotne zmiany w skrypcie firewall: #FORWARD [ -x /etc/iptables/forward.sh ] && /etc/iptables/forward.sh # Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep if [ ! -f /etc/conf.d/hosts ]; then # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT # i maskujemy if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE fi else grep "^" /etc/conf.d/hosts | grep -v "^#"|grep [0123456789] |while read IP nazwa ; do $i -A INPUT -s $IP -i ! $EXTIF -j ACCEPT $i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -s $IP -o $EXTIF -j MASQUERADE fi done fi |
|
| Autor: | hx [ środa, 22 listopada 2006, 20:36 ] |
| Tytuł: | |
zciech pisze: hx pisze: Bad argument `0/0' Try `iptables -h' or 'iptables --help' for more information. Powinno byc juz dobrze: http://nnd.reliserv.pl/Nowe_NND/forward/forward.sh dzięki teraz jest ok |
|
| Autor: | zciech [ środa, 22 listopada 2006, 20:54 ] |
| Tytuł: | |
Cytuj: EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba..
Niestety tak. mrtg i statmaty tworzą wlasne lancuchy iptables do pomiaru transferu. restart firewala kasuje te lancuchy a przynajmnij jeden: Chain FORWARD (policy DROP 4 packets, 222 bytes) pkts bytes target prot opt in out source destination 614K 345M mrtg_traffic all -- * * 0.0.0.0/0 0.0.0.0/0 i nici ze zliczania
|
|
| Autor: | Mis' [ środa, 22 listopada 2006, 20:57 ] |
| Tytuł: | |
zciech pisze: Cytuj: EDIT: czy konieczne jest włączenie restartu innych pakietów przez script iptables? Nie bardzo mi się to podoba.. Niestety tak. mrtg i statmaty tworzą wlasne lancuchy iptables do pomiaru transferu. restart firewala kasuje te lancuchy a przynajmnij jeden: Chain FORWARD (policy DROP 4 packets, 222 bytes) pkts bytes target prot opt in out source destination 614K 345M mrtg_traffic all -- * * 0.0.0.0/0 0.0.0.0/0 i nici ze zliczania czyli w zależnościch mrtg trzeba dodać iptables i ewentualnie firewall? hm... |
|
| Strona 2 z 3 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|