Freesco, NND, CDN, EOS

o to ja nie mam pretesji. Mam tylko pretensje o to ze ludzie nie czytaja!

_________________

dla Ciebie niektore rzeczy sa na tyle oczywiste, ze nawet bys nie pomyslal, ze poczatkujacy moze miec z tym problemy a ja czytam i czytam, ale wszystkiego w jeden dzien przeczytac sie nie da...

tu bylo kilka pytan, ale rozwiazanie sie znalazlo
jest tylko jedno pytanie, co jesli w ktorejs z tablic bedzie zdublowana jakas regula, np blokada p2p z wykorzystaniem ipp2p na wszystkich protokolach, a nastepnie tylko z protokolu tcp. Moze sie cos stac w takim wypadku?

Ciekawy topic: http://www.trzepak.pl/viewtopic.php?p=62845#62845

_________________
www.lan14.net

erni widocznie przeczytałes bez zrozumienia. ja mimo tego ze tez nie mialem z firewalem czerwa do czynienia juz przy pierwszej generacji firewalla mialem net.

potem zajzalem jak to wyglada w srodku. cos dodalem w opcjach. zobaczylem co sie zmienilo i w sumie to mogl bym sobie sobie sam firewalla napisac - pytanie tylko po co skoro u czerwa wystarczy poprzelaczac pare opcji i masz pelna funkcjonalnosc.




przekierowanie wszystkich portow na wirtualny serwer www

#### BLOKADA

iptables -A PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

#### ODBLOKOWANIE

iptables -D PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

_________________
www.inter-foto.pl

iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
mamy tu zablokowanie

a odblokowanie?
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j ACCEPT ?

_________________
in the name of god.. !

I dzieki temu bedziesz sobie mnozyl reguly z nieskonczonosc. Jak blokujesz tak:
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
to poprostu usun regule blokujaca, zeby odblokowac:
iptables -D FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

iptables -I FORWARD -s 192.168.0.0/27 -m ipp2p --ipp2p -j DROP
jak zablokowalem całą sieć

to nie odblokuje
iptables -D FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
tylko jednego 11 , dobrze mysle? bo -D usuwa regułę.. tak?

no właśnie a jak w tym przypadu? zablokowanie całego ruchu i odblokowanie jednego usera z p2p ?

dziekuje

_________________
in the name of god.. !

Wtedy najlepszym rozwiazaniem bedzie to, ktore podales wyzej.
Ogolnie to na poczatek polecam ta lekture: http://www.szluug.org/pliki/wyklady/200 ... filter.pdf

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

tak, tak wiele razy przed oczami miałem tego pedefa, tylko że jak się nie praktykuje to się zapomina

_________________
in the name of god.. !

i=`which iptables`

# Zabezpieczenie przed powodzia pakietow SYN (ang. Syn-flood)
$i -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Obrona przed skanerami portow szybko przemiatajacymi siec
$i -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ochrona przed roznymi atakami (nie loguje z powodu malego dysku)

$i -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "firewall: New not syn: "
$i -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$i -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$i -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$i -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$i -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Blokowanie polaczen NEW z flaga inna niz syn (link 4)
$i -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$i -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Odrzucanie pakietow pofragmentowanych (link 4)
$i -A INPUT -f -j DROP
$i -A FORWARD -f -j DROP

# Odrzucanie polaczen w stanie INVALID (link 4)
$i -A INPUT -m state --state INVALID -j DROP
$i -A FORWARD -m state --state INVALID -j DROP

# Automatyczne rozpoznawanie MTU (link 4)
# $i -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# $i -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#Blokuje porty "wirusow" dla tabeli FORWARD ( ochrona bałwan jestem sieci ). Gdzieś kiedyś taki spis w sieci znalazłem
#U mnie nie szkodzi jak ktoś korzysta z tych portów to trzeba usunąć

#FPORTS="37 111 113 135 137 138 139 445 578 1025 1136 1214 1237 1396 1450 2282 2032 2164 2724 2745 2823 2838 2862 2954 3012 3112 3127 3259 3309 3766 3981 4751 5000 6129 6346 6667 ";
#for i in $FPORTS
#do
#iptables -A FORWARD -p tcp --dport $i -j DROP
#iptables -A FORWARD -p udp --dport $i -j DROP
#done

# Blokuje to samo korzystajac z mport
$i -A FORWARD -p tcp -m mport --ports 37,111,113,135,137,138,139,445,578,1025 -j DROP
$i -A FORWARD -p tcp -m mport --ports 1136,1214,1237,1396,1450,2282,2032,2164,2724,2745 -j DROP
$i -A FORWARD -p tcp -m mport --ports 2823,2838,2862,2954,3012,3112,3127,3259,3309,3766 -j DROP
$i -A FORWARD -p tcp -m mport --ports 3981,4751,5000,6129,6346,6667 -j DROP

#Blokuje skanery portow"
echo "Blocking port scaners"

# Podobno ma w czyms chronic (nie pisalem tego). U mnie nie szkodzi, ale
# w razie problemow to tu szukac przyczyny po pierwsze. 2 z tej serii juz wywalilem bo byly klopoty
$i -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# latka Port Scan Detection
$i -A INPUT -m psd -j DROP

#Blokuje Ping of Death"
echo "Starting ping filtering ( Ping of Death protection ) "

#Odrzucam pingi dłuzsze niż 128 bitów
$i -A INPUT -p icmp --icmp-type echo-request -m length --length 128:0xffff -j REJECT --reject-with icmp-host-unreachable

#Przepuszczamy tylko 1 ping na sekunde
$i -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Albo Sprawiamy wrażenie ze mamy poważne problemy z internetem
$i -A INPUT -p icmp --icmp-type echo-request -m random --average 65 -j ACCEPT

#Albo dopuszczamy co drugi ping
$i -A INPUT -p icmp --icmp-type echo-request -m nth --every 2 -j ACCEPT

# Reszte pingow odrzucamy
$i -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

# blokowanie pingow
$i -A INPUT -p icmp --icmp-type echo-request -j DROP

#####################################################################################

_________________

Zebralem do kupy kilka regulek ktorych potrzebuje:



Internet mam na eth0 a siec na eth1.
Na tym kompie jest postawiony squid.

Czy to nie zablokuje mi transparent proxy w koncu blokuje port 8080 zeby nikt nie korzystal z zewnetrznego proxy?
I czy wszystko jest w dobrej kolejnosci czy wypadalo by cos zmienic?

Z gory dzieki za odpowiedz.

zeby nikt z zewnatrz nie korzystal to moze lepiej jest w squid.conf w "grupa all" podac to samo co w grupie lokalhost? czyli:

Grupa all - dla wszystkich uzytkownikow i wszystkich sieci
acl all src 192.168.0.0/255.255.255.0

macgyver2004 chyba właśnie zablokował sobie GG i nie tylko.















Od tego trzeba zacząć, a później tylko patrzeć gdzie lądują dane regułki po zastosowaniu przełącznika -A lub -I.

Pozdrowionka

_________________
Napis na grobie informatyka:
"kowalski.zip"

Ta regułka nie bardzo chce zadziałać. Bardzo proszę o wskazanie błędu. Dziekuję.

iptables -t nat -I PREROUTING -m time --timestart 14:11 --timestop 14:15 -s 192.168.1.27 -d 69.63.189.11 -p tcp --dport 80 -j REDIRECT --to-port 82

_________________
------------------------
HOUSE music