Freesco, NND, CDN, EOS

zrestartowałem Firewall i teraz wyrzuca mi błędy
firewall 0.2-2006.11.22 Zciech

No to zadaj sobie trudu i zobacz co jest w 181 linii tego pliku.
Zdaje sie zresztą, że firewall Zciecha teraz jest standardem w nnd - zatem zainstalowałeś coś przestarzałego.

_________________
Belfer.one.PL
Audio Cafe

widzisz zainstalowałem fail2ban i zrestartowałem Firewalla i po tym ten błąd a dlaczego czyżby były nie zgodne ze sobą

Fail2ban jest kompatybilny z firewallem standardowym. Stary firewall Zciecha to jakas wcześniejsza wersja standardowego firewalla z nnd. Należałoby wrócić do standardowego (pakiet iptables).

_________________
Belfer.one.PL
Audio Cafe

Dopiero w ostatnim firewallu jest tekst "wszystko jest otwarte" czy źle kojarzę?

Pokaż swój /etc/iptables/firewall a wszystkie wątpliwości rozwiążą się w mig.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

#!/bin/sh
# firewall 0.2-2006.11.22 Zciech (poprawka w lini 113 i 49 - macieks)
#
# W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany
# ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen
# i polaczen na strone www (port 80 tcp) oraz pingi 1/s
# parametr stop otwiera caly ruch i wlacza maskarade
# parametr panic zamyka firewall
. /etc/rc.conf
. /etc/rc.d/functions

i=`which iptables`
LOGFILE=/var/log/firewall
# Zmienne pobierane z rc.conf
# EXTIF="ppp0" # Interfejs do inetu
# CONNECTION="neorj" # Rodzaj polaczenia
# NETWORK=1 # Wlaczenie maskarady

#if_ip_correct() {
#tmp_ip=`echo "$1" | awk -F '.' '!/[^0-9\.]/ {if($1>0 && $1<256 && $2>-1 && $2<256 && $3>-1 && $3<256 && $4>-1 && $4<256 && NF == "4") print $1 "." $2 "." $3 "." $4 }'`
#if [ -z $tmp_ip ]; then
# return 1
#else
# return 0
#fi
#}

case $1 in

start)

if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi

echo 1 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

$i -F
$i -F -t nat

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT ACCEPT

# interfejs lo
$i -A INPUT -i lo -j ACCEPT 2>/$LOGFILE
$i -A FORWARD -o lo -j ACCEPT 2>$LOGFILE

# Neostrada zmiana MTU
#if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then
if [ "$CONNECTION" = "neorj" -o "$CONNECTION" = "neosagem" ];then
$i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 2>$LOGFILE
fi

# Blaster i Saser
$i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP 2>$LOGFILE
$i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP 2>$LOGFILE

# Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
# na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
# Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie
# zaplotkuj jesli nie chcesz udostepniac serwisu ident do inetu
if [ "$IDENT" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 113 -j ACCEPT 2>$LOGFILE
else
$i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable 2>$LOGFILE
fi
$i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable 2>$LOGFILE

# zaplotkuj jesli nie chcesz udostepniac serwisu http do inetu
if [ "$WWW" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac serwisu https do inetu
if [ "$HTTPS" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac serwisu ftp do inetu
if [ "$FTP" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 20 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac poczty do inetu
if [ $MAIL = 1 ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 110 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p tcp -i $EXTIF --dport 25 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p tcp -i $EXTIF --dport 465 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p tcp -i $EXTIF --dport 995 -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac SSH do inetu
if [ "$SSH" = "1" ]; then
PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "`
[ -z $PORT_SSH ] && PORT_SSH=22
$i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu
if [ "$IMAP" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 143 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p udp -i $EXTIF --dport 143 -j ACCEPT 2>$LOGFILE
fi

# zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu
if [ "$IMAPS" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT 2>$LOGFILE
$i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT 2>$LOGFILE
fi

# pingi pozwalamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec 2>$LOGFILE

#FORWARD
[ -x /etc/iptables/forward.sh ] && /etc/iptables/forward.sh

# Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep
if [ -f /etc/conf.d/hosts ]; then
# grep "^" /etc/conf.d/hosts | grep -v "^#"| grep [0123456789] |while read IP nazwa ; do
# $i -A INPUT -s $IP -i ! $EXTIF -j ACCEPT
# $i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT
# if [ "$NETWORK" = "1" ]; then
# $i -t nat -A POSTROUTING -s $IP -o $EXTIF -j MASQUERADE
# fi
# done
while read line; do
IP=`echo "$line" | sed 's/#.*$//; s/[[:blank:]]*//g'`
# if_ip_correct $IP
if [ ! -z "$IP" ]; then
$i -A INPUT -s $IP -i ! $EXTIF -j ACCEPT 2>$LOGFILE
$i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT 2>$LOGFILE
if [ "$NETWORK" = "1" ]; then
$i -t nat -A POSTROUTING -s $IP -o $EXTIF -j MASQUERADE 2>$LOGFILE
fi
fi
done < /etc/conf.d/hosts

else
# Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
$i -A INPUT -i ! $EXTIF -j ACCEPT 2>$LOGFILE
$i -A FORWARD -i ! $EXTIF -j ACCEPT 2>$LOGFILE
# i maskujemy
if [ "$NETWORK" = "1" ]; then
$i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE 2>$LOGFILE
fi
    fi
# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen
$i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED 2>$LOGFILE
$i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED 2>$LOGFILE
wynik
;;
panic)
$i -F INPUT
$i -F FORWARD
$i -F OUTPUT
$i -P INPUT DROP 2>$LOGFILE
$i -P FORWARD DROP 2>$LOGFILE
$i -P OUTPUT DROP 2>$LOGFILE
echo 0 > /proc/sys/net/ipv4/ip_forward
wynik
;;
stop)
$i -F INPUT
$i -F FORWARD
$i -F OUTPUT

$i -P INPUT ACCEPT 2>$LOGFILE
$i -P FORWARD ACCEPT 2>$LOGFILE
$i -P OUTPUT ACCEPT 2>$LOGFILE
$i -t nat -A POSTROUTING -j MASQUERADE 2>$LOGFILE
echo 1 > /proc/sys/net/ipv4/ip_forward
wynik
;;

esac