Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
błędy przy uruchamianiu Firewall http://forum.freesco.pl/viewtopic.php?f=24&t=17980 |
Strona 1 z 1 |
Autor: | Globals [ piątek, 8 stycznia 2010, 22:38 ] |
Tytuł: | błędy przy uruchamianiu Firewall |
zrestartowałem Firewall i teraz wyrzuca mi błędy firewall 0.2-2006.11.22 Zciech NND: Zatrzymuję Firewall, wszystko jest otwarte [Trwa....] /etc/iptables/firewall: line 181: syntax error near unexpected token `;;' /etc/iptables/firewall: line 181: ` ;;' [Nieudane] NND: Uruchamiam Firewall [Nieudane] |
Autor: | Maciek [ piątek, 8 stycznia 2010, 23:57 ] |
Tytuł: | |
No to zadaj sobie trudu i zobacz co jest w 181 linii tego pliku. Zdaje sie zresztą, że firewall Zciecha teraz jest standardem w nnd - zatem zainstalowałeś coś przestarzałego. |
Autor: | Globals [ sobota, 9 stycznia 2010, 09:19 ] |
Tytuł: | |
widzisz zainstalowałem fail2ban i zrestartowałem Firewalla i po tym ten błąd a dlaczego czyżby były nie zgodne ze sobą |
Autor: | Maciek [ sobota, 9 stycznia 2010, 12:40 ] |
Tytuł: | |
Fail2ban jest kompatybilny z firewallem standardowym. Stary firewall Zciecha to jakas wcześniejsza wersja standardowego firewalla z nnd. Należałoby wrócić do standardowego (pakiet iptables). |
Autor: | JakubC [ niedziela, 10 stycznia 2010, 05:13 ] |
Tytuł: | |
Dopiero w ostatnim firewallu jest tekst "wszystko jest otwarte" czy źle kojarzę? Pokaż swój /etc/iptables/firewall a wszystkie wątpliwości rozwiążą się w mig. |
Autor: | Globals [ niedziela, 10 stycznia 2010, 09:23 ] |
Tytuł: | |
#!/bin/sh # firewall 0.2-2006.11.22 Zciech (poprawka w lini 113 i 49 - macieks) # # W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany # ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen # i polaczen na strone www (port 80 tcp) oraz pingi 1/s # parametr stop otwiera caly ruch i wlacza maskarade # parametr panic zamyka firewall . /etc/rc.conf . /etc/rc.d/functions i=`which iptables` LOGFILE=/var/log/firewall # Zmienne pobierane z rc.conf # EXTIF="ppp0" # Interfejs do inetu # CONNECTION="neorj" # Rodzaj polaczenia # NETWORK=1 # Wlaczenie maskarady #if_ip_correct() { #tmp_ip=`echo "$1" | awk -F '.' '!/[^0-9\.]/ {if($1>0 && $1<256 && $2>-1 && $2<256 && $3>-1 && $3<256 && $4>-1 && $4<256 && NF == "4") print $1 "." $2 "." $3 "." $4 }'` #if [ -z $tmp_ip ]; then # return 1 #else # return 0 #fi #} case $1 in start) if [ -e /proc/sys/net/ipv4/tcp_ecn ];then echo 0 > /proc/sys/net/ipv4/tcp_ecn fi echo 1 > /proc/sys/net/ipv4/ip_forward if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies fi for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done $i -F $i -F -t nat $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT ACCEPT # interfejs lo $i -A INPUT -i lo -j ACCEPT 2>/$LOGFILE $i -A FORWARD -o lo -j ACCEPT 2>$LOGFILE # Neostrada zmiana MTU #if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then if [ "$CONNECTION" = "neorj" -o "$CONNECTION" = "neosagem" ];then $i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 2>$LOGFILE fi # Blaster i Saser $i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP 2>$LOGFILE $i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP 2>$LOGFILE # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC) # Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie # zaplotkuj jesli nie chcesz udostepniac serwisu ident do inetu if [ "$IDENT" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 113 -j ACCEPT 2>$LOGFILE else $i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable 2>$LOGFILE fi $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable 2>$LOGFILE # zaplotkuj jesli nie chcesz udostepniac serwisu http do inetu if [ "$WWW" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac serwisu https do inetu if [ "$HTTPS" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac serwisu ftp do inetu if [ "$FTP" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 20 -j ACCEPT 2>$LOGFILE $i -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac poczty do inetu if [ $MAIL = 1 ]; then $i -A INPUT -p tcp -i $EXTIF --dport 110 -j ACCEPT 2>$LOGFILE $i -A INPUT -p tcp -i $EXTIF --dport 25 -j ACCEPT 2>$LOGFILE $i -A INPUT -p tcp -i $EXTIF --dport 465 -j ACCEPT 2>$LOGFILE $i -A INPUT -p tcp -i $EXTIF --dport 995 -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac SSH do inetu if [ "$SSH" = "1" ]; then PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "` [ -z $PORT_SSH ] && PORT_SSH=22 $i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu if [ "$IMAP" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 143 -j ACCEPT 2>$LOGFILE $i -A INPUT -p udp -i $EXTIF --dport 143 -j ACCEPT 2>$LOGFILE fi # zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu if [ "$IMAPS" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT 2>$LOGFILE $i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT 2>$LOGFILE fi # pingi pozwalamy $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec 2>$LOGFILE #FORWARD [ -x /etc/iptables/forward.sh ] && /etc/iptables/forward.sh # Jesli istnieje plik z hostami /etc/conf.d/hosts to tylko tam wymienieni beda mieli dostep if [ -f /etc/conf.d/hosts ]; then # grep "^" /etc/conf.d/hosts | grep -v "^#"| grep [0123456789] |while read IP nazwa ; do # $i -A INPUT -s $IP -i ! $EXTIF -j ACCEPT # $i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT # if [ "$NETWORK" = "1" ]; then # $i -t nat -A POSTROUTING -s $IP -o $EXTIF -j MASQUERADE # fi # done while read line; do IP=`echo "$line" | sed 's/#.*$//; s/[[:blank:]]*//g'` # if_ip_correct $IP if [ ! -z "$IP" ]; then $i -A INPUT -s $IP -i ! $EXTIF -j ACCEPT 2>$LOGFILE $i -A FORWARD -s $IP -i ! $EXTIF -j ACCEPT 2>$LOGFILE if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -s $IP -o $EXTIF -j MASQUERADE 2>$LOGFILE fi fi done < /etc/conf.d/hosts else # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT 2>$LOGFILE $i -A FORWARD -i ! $EXTIF -j ACCEPT 2>$LOGFILE # i maskujemy if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE 2>$LOGFILE fi fi # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen $i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED 2>$LOGFILE $i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED 2>$LOGFILE wynik ;; panic) $i -F INPUT $i -F FORWARD $i -F OUTPUT $i -P INPUT DROP 2>$LOGFILE $i -P FORWARD DROP 2>$LOGFILE $i -P OUTPUT DROP 2>$LOGFILE echo 0 > /proc/sys/net/ipv4/ip_forward wynik ;; stop) $i -F INPUT $i -F FORWARD $i -F OUTPUT $i -P INPUT ACCEPT 2>$LOGFILE $i -P FORWARD ACCEPT 2>$LOGFILE $i -P OUTPUT ACCEPT 2>$LOGFILE $i -t nat -A POSTROUTING -j MASQUERADE 2>$LOGFILE echo 1 > /proc/sys/net/ipv4/ip_forward wynik ;; esac |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |