Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 12:00

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3
Autor Wiadomość
 Tytuł:
Post: sobota, 26 sierpnia 2006, 21:33 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
o to ja nie mam pretesji. Mam tylko pretensje o to ze ludzie nie czytaja!

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 27 sierpnia 2006, 11:49 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
czerwo pisze:
o to ja nie mam pretesji. Mam tylko pretensje o to ze ludzie nie czytaja!

dla Ciebie niektore rzeczy sa na tyle oczywiste, ze nawet bys nie pomyslal, ze poczatkujacy moze miec z tym problemy :) a ja czytam i czytam, ale wszystkiego w jeden dzien przeczytac sie nie da...

tu bylo kilka pytan, ale rozwiazanie sie znalazlo :)
jest tylko jedno pytanie, co jesli w ktorejs z tablic bedzie zdublowana jakas regula, np blokada p2p z wykorzystaniem ipp2p na wszystkich protokolach, a nastepnie tylko z protokolu tcp. Moze sie cos stac w takim wypadku?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 13 września 2006, 12:41 
Offline
Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz
Ciekawy topic: http://www.trzepak.pl/viewtopic.php?p=62845#62845

_________________
www.lan14.net


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 grudnia 2006, 10:21 
Offline
Użytkownik

Rejestracja: czwartek, 1 grudnia 2005, 02:31
Posty: 200
erni widocznie przeczytałes bez zrozumienia. ja mimo tego ze tez nie mialem z firewalem czerwa do czynienia juz przy pierwszej generacji firewalla mialem net.

potem zajzalem jak to wyglada w srodku. cos dodalem w opcjach. zobaczylem co sie zmienilo i w sumie to mogl bym sobie sobie sam firewalla napisac - pytanie tylko po co skoro u czerwa wystarczy poprzelaczac pare opcji i masz pelna funkcjonalnosc.




przekierowanie wszystkich portow na wirtualny serwer www

#### BLOKADA

iptables -A PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

#### ODBLOKOWANIE

iptables -D PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

_________________
www.inter-foto.pl


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 grudnia 2006, 11:59 
Offline

Rejestracja: środa, 10 grudnia 2003, 22:16
Posty: 84
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
mamy tu zablokowanie

a odblokowanie?
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j ACCEPT ? :oops:

_________________
in the name of god.. !


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 grudnia 2006, 12:42 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
I dzieki temu bedziesz sobie mnozyl reguly z nieskonczonosc. Jak blokujesz tak:
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
to poprostu usun regule blokujaca, zeby odblokowac:
iptables -D FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 grudnia 2006, 12:49 
Offline

Rejestracja: środa, 10 grudnia 2003, 22:16
Posty: 84
iptables -I FORWARD -s 192.168.0.0/27 -m ipp2p --ipp2p -j DROP
jak zablokowalem całą sieć

to nie odblokuje
iptables -D FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
tylko jednego 11 , dobrze mysle? bo -D usuwa regułę.. tak?

no właśnie a jak w tym przypadu? zablokowanie całego ruchu i odblokowanie jednego usera z p2p ?

dziekuje

_________________
in the name of god.. !


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 grudnia 2006, 13:01 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Wtedy najlepszym rozwiazaniem bedzie to, ktore podales wyzej.
Ogolnie to na poczatek polecam ta lekture: http://www.szluug.org/pliki/wyklady/200 ... filter.pdf

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 grudnia 2006, 13:33 
Offline

Rejestracja: środa, 10 grudnia 2003, 22:16
Posty: 84
tak, tak :) wiele razy przed oczami miałem tego pedefa, tylko że jak się nie praktykuje to się zapomina :(

_________________
in the name of god.. !


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 4 marca 2007, 22:26 
Offline
Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek
: [/] [] ()
# echo service
   iptables -A INPUT -p tcp --dport 7 -m connlimit --connlimit-above 10 -j DROP
   iptables -A INPUT -p tcp --syn --dport 7 -m recent --name ECHO_SYNFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p tcp --syn --dport 7 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name echotcp -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 7 -m recent --name ECHO_SYNFLOOD --set -j DROP
   iptables -A INPUT -p udp --dport 7 -m recent --name ECHO_UDPFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p udp --dport 7 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name echoudp -j ACCEPT
        iptables -A INPUT -p udp --dport 7 -m recent --name ECHO_UDPFLOOD --set -j DROP

   # dns service
   iptables -A INPUT -p tcp --dport 53 -m connlimit --connlimit-above 10 -j DROP
   iptables -A INPUT -p tcp --syn --dport 53 -m recent --name DNS_SYNFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p tcp --syn --dport 53 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name dnstcp -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 53 -m recent --name DNS_SYNFLOOD --set -j DROP
   iptables -A INPUT -p udp --dport 53 -m recent --name DNS_UDPFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p udp --dport 53 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name dnsudp -j ACCEPT
        iptables -A INPUT -p udp --dport 53 -m recent --name DNS_UDPFLOOD --set -j DROP

   # http inkl. syn flood protection
   iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
   iptables -A INPUT -p tcp --syn --dport 80 -m recent --name HTTP_SYNFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p tcp --syn --dport 80 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name http -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 80 -m recent --name HTTP_SYNFLOOD --set -j DROP

   # ftp ink. syn flood protection
   iptables -A INPUT -p tcp --dport 21 -m connlimit --connlimit-above 10 -j DROP
   iptables -A INPUT -p tcp --syn --dport 21 -m recent --name FTP_SYNFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p tcp --syn --dport 21 -m dstlimit --dstlimit 5/second --dstlimit-mode srcip-dstip --dstlimit-name ftp -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 21 -m recent --name FTP_SYNFLOOD --set -j DROP
   # passive mode
   iptables -A INPUT -p tcp --dport 50100:50999 -j ACCEPT

   # mail (smtp) inkl. syn flood protection
   #iptables -A INPUT -p tcp --syn --dport 25 -j ACCEPT
   iptables -A INPUT -p tcp --dport 25 -m connlimit --connlimit-above 1 -j DROP
   iptables -A INPUT -p tcp --syn --dport 25 -m recent --name MAIL_SYNFLOOD --rcheck --seconds 5 -j DROP
   #iptables -A INPUT -p tcp --dport 25 -j LOG
        iptables -A INPUT -p tcp --syn --dport 25 -m dstlimit --dstlimit 4/second --dstlimit-mode srcip-dstip --dstlimit-name mail -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 25 -m recent --name MAIL_SYNFLOOD --set -j DROP

   # pop3
   iptables -A INPUT -p tcp --dport 110 -m connlimit --connlimit-above 4 -j DROP
   iptables -A INPUT -p tcp --syn --dport 110 -m recent --name POP3_SYNFLOOD --rcheck --seconds 5 -j DROP
        iptables -A INPUT -p tcp --syn --dport 110 -m dstlimit --dstlimit 4/second --dstlimit-mode srcip-dstip --dstlimit-name pop3 -j ACCEPT
        iptables -A INPUT -p tcp --syn --dport 110 -m recent --name POP3_SYNFLOOD --set -j DROP


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 18:13 
Offline

Rejestracja: sobota, 17 grudnia 2005, 01:21
Posty: 92
Lokalizacja: Kielce
i=`which iptables`

# Zabezpieczenie przed powodzia pakietow SYN (ang. Syn-flood)
$i -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Obrona przed skanerami portow szybko przemiatajacymi siec
$i -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ochrona przed roznymi atakami (nie loguje z powodu malego dysku)

$i -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "firewall: New not syn: "
$i -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$i -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$i -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$i -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$i -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "firewall: Stealth scan: "
$i -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Blokowanie polaczen NEW z flaga inna niz syn (link 4)
$i -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$i -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Odrzucanie pakietow pofragmentowanych (link 4)
$i -A INPUT -f -j DROP
$i -A FORWARD -f -j DROP

# Odrzucanie polaczen w stanie INVALID (link 4)
$i -A INPUT -m state --state INVALID -j DROP
$i -A FORWARD -m state --state INVALID -j DROP

# Automatyczne rozpoznawanie MTU (link 4)
# $i -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# $i -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#Blokuje porty "wirusow" dla tabeli FORWARD ( ochrona bałwan jestem sieci ). Gdzieś kiedyś taki spis w sieci znalazłem
#U mnie nie szkodzi jak ktoś korzysta z tych portów to trzeba usunąć

#FPORTS="37 111 113 135 137 138 139 445 578 1025 1136 1214 1237 1396 1450 2282 2032 2164 2724 2745 2823 2838 2862 2954 3012 3112 3127 3259 3309 3766 3981 4751 5000 6129 6346 6667 ";
#for i in $FPORTS
#do
#iptables -A FORWARD -p tcp --dport $i -j DROP
#iptables -A FORWARD -p udp --dport $i -j DROP
#done

# Blokuje to samo korzystajac z mport
$i -A FORWARD -p tcp -m mport --ports 37,111,113,135,137,138,139,445,578,1025 -j DROP
$i -A FORWARD -p tcp -m mport --ports 1136,1214,1237,1396,1450,2282,2032,2164,2724,2745 -j DROP
$i -A FORWARD -p tcp -m mport --ports 2823,2838,2862,2954,3012,3112,3127,3259,3309,3766 -j DROP
$i -A FORWARD -p tcp -m mport --ports 3981,4751,5000,6129,6346,6667 -j DROP

#Blokuje skanery portow"
echo "Blocking port scaners"

# Podobno ma w czyms chronic (nie pisalem tego). U mnie nie szkodzi, ale
# w razie problemow to tu szukac przyczyny po pierwsze. 2 z tej serii juz wywalilem bo byly klopoty
$i -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
$i -A INPUT -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# latka Port Scan Detection
$i -A INPUT -m psd -j DROP

#Blokuje Ping of Death"
echo "Starting ping filtering ( Ping of Death protection ) "

#Odrzucam pingi dłuzsze niż 128 bitów
$i -A INPUT -p icmp --icmp-type echo-request -m length --length 128:0xffff -j REJECT --reject-with icmp-host-unreachable

#Przepuszczamy tylko 1 ping na sekunde
$i -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Albo Sprawiamy wrażenie ze mamy poważne problemy z internetem
$i -A INPUT -p icmp --icmp-type echo-request -m random --average 65 -j ACCEPT

#Albo dopuszczamy co drugi ping
$i -A INPUT -p icmp --icmp-type echo-request -m nth --every 2 -j ACCEPT

# Reszte pingow odrzucamy
$i -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

# blokowanie pingow
$i -A INPUT -p icmp --icmp-type echo-request -j DROP

#####################################################################################

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 lutego 2008, 11:24 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Zebralem do kupy kilka regulek ktorych potrzebuje:

: [/] [] ()
#czyszczenie tablicy
iptables -F

#Transparent Proxy

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

#Otwarcie portow dla admina
iptables -t nat -I PREROUTING -p tcp --dport 15000 -j DNAT --to 192.168.0.11:15000
iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 15000 -j ACCEPT
iptables -t nat -I PREROUTING -p udp --dport 15000 -j DNAT --to 192.168.0.11:15000
iptables -I FORWARD -p udp -d 192.168.0.11 --dport 15000 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 15001 -j DNAT --to 192.168.0.11:15001
iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 15001 -j ACCEPT
iptables -t nat -I PREROUTING -p udp --dport 15001 -j DNAT --to 192.168.0.11:15001
iptables -I FORWARD -p udp -d 192.168.0.11 --dport 15001 -j ACCEPT

#aktywowanie gg dla 192.168.0.11
iptables -I FORWARD -s 192.168.0.11 -d 217.17.33.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.0.11 -d 217.17.41.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.0.11 -d 217.17.45.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.0.11 -d 91.197.12.0/22 -j ACCEPT
iptables -I FORWARD -s 192.168.0.11 -d 217.153.78.0/24 -j ACCEPT

#blokowanie gg dla reszty sieci
iptables -I FORWARD -d 217.17.33.0/24 -j DROP
iptables -I FORWARD -d 217.17.41.0/24 -j DROP
iptables -I FORWARD -d 217.17.45.0/24 -j DROP
iptables -I FORWARD -d 91.197.12.0/22 -j DROP
iptables -I FORWARD -d 217.153.78.0/24 -j DROP
iptables -I FORWARD -d 217.98.20.195/24 -j DROP


#Blokada portow
iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 1:20 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 1:20 -j DROP

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 22:24 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 22:24 -j DROP

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 26:79 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 26:79 -j DROP

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 81:109 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 81:109 -j DROP

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 111:442 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 111:442 -j DROP

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 444:65534 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 444:65534 -j DROP


Internet mam na eth0 a siec na eth1.
Na tym kompie jest postawiony squid.

Czy to nie zablokuje mi transparent proxy w koncu blokuje port 8080 zeby nikt nie korzystal z zewnetrznego proxy?
I czy wszystko jest w dobrej kolejnosci czy wypadalo by cos zmienic?

Z gory dzieki za odpowiedz.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 15 marca 2008, 14:40 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
zeby nikt z zewnatrz nie korzystal to moze lepiej jest w squid.conf w "grupa all" podac to samo co w grupie lokalhost? czyli:

Grupa all - dla wszystkich uzytkownikow i wszystkich sieci
acl all src 192.168.0.0/255.255.255.0


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 17 kwietnia 2008, 15:08 
Offline

Rejestracja: sobota, 22 lipca 2006, 14:41
Posty: 82
Lokalizacja: Nowa Wieś Wielka
macgyver2004 chyba właśnie zablokował sobie GG ;-) i nie tylko.

: [/] [] ()
iptables -L FORWARD -n -v -x


: [/] [] ()
iptables -L INPUT -n -v -x


: [/] [] ()
iptables -L OUTPUT -n -v -x


: [/] [] ()
iptables -L POSTROUTING -t nat -n -v -x


: [/] [] ()
iptables -L POSTROUTING -t mangle -n -v -x


: [/] [] ()
iptables -L PREROUTING -t nat -n -v -x


: [/] [] ()
iptables -L PREROUTING -t mangle -n -v -x


Od tego trzeba zacząć, a później tylko patrzeć gdzie lądują dane regułki po zastosowaniu przełącznika -A lub -I.

Pozdrowionka

_________________
Napis na grobie informatyka:
"kowalski.zip"


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 23 maja 2011, 14:15 
Offline
Użytkownik

Rejestracja: niedziela, 18 maja 2003, 22:55
Posty: 386
Lokalizacja: Rzeszów
Ta regułka nie bardzo chce zadziałać. Bardzo proszę o wskazanie błędu. Dziekuję.

iptables -t nat -I PREROUTING -m time --timestart 14:11 --timestop 14:15 -s 192.168.1.27 -d 69.63.189.11 -p tcp --dport 80 -j REDIRECT --to-port 82

_________________
------------------------
HOUSE music


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Google [Bot] i 11 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl