Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 21:21

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna
Autor Wiadomość
 Tytuł:
Post: czwartek, 24 sierpnia 2006, 00:14 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
# -- blokada udp

iptables -t filter -I FORWARD -p udp -s $IP --dport ! 53 -j DROP
iptables -t filter -I FORWARD -p udp -d $IP --sport ! 53 -j DROP

i bez obaw ze net nie bedzie dzialal :)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 24 sierpnia 2006, 10:19 
Offline
Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec
-MW- pisze:
iptables -t filter -I FORWARD -p udp -s $IP --dport ! 53 -j DROP
iptables -t filter -I FORWARD -p udp -d $IP --sport ! 53 -j DROP


I tutaj widzisz wchodzimy w inne obszary wiedzy.
1. Stworzymy sobie vademecum tego co można poblokować (popieram tutaj Zciech'a - man iptables lub inne Google... ;) ) i teraz rządny władzy młody admin powpisuje, nawpisuje nie wiadomo gdzie i nie wiadomo co. Nagle mu zdechnie wszystko i się zaczną posty na forum - nie działa mi...

Druga sprawa to zależności, to co napisałeś powyżej np. ma znaczenie przy zainstalowanym bindzie - ale tej informacji tutaj już nie ma. Za chwilę ktoś wrzuci blokadę p2p - oczywiście - ale - trzeba mieć ipp2p (najlepiej takie, z przyszłości :D ) itp...

Oczywiście zdaję sobie sprawę, że wiedza jest bezcenna i taka lista jest ważna, natomiast patrząc z drugiej strony nie wyobrażam sobie zarządzania siecią, nawet złożoną z kilkunastu userów i "ręcznego" używania tych "regułek". Stąd robota Zciech'a, Czerw'a i trochę mojej, żeby było prosto, łatwo i przyjemnie. A jak ktoś chce się nauczyć to wszystko na forum ma - wraz z opisem. Czytając większość z wątków można zrozumieć dużo więcej, niż wchodząc na listę dostępnych regułek.

Istnieją również inne problemy: w jakim pliku to dopisać, gdzie to dopisać i w jakiej kolejności, jak każdy będzie miał to w innym miejscu z ręki wpisane to stopień komplikacji przy próbie pomocy takiej osobie znacznie wzrośnie. :)

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 24 sierpnia 2006, 16:54 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
tak tylko czy "prosto, łatwo i przyjemnie" nie powoduje że admin jest lekko "upośledzony" Jak ktos chce pokombinować to powpisuje sobie regułki a jak chce iść na łatwizne to ma do wyboru dwa firewalle gdzie wystarczy znać cyfre zero i cyfre jeden do prawidłowej konfiguracji.Pytanie o te regułki są w co trzecim temacie na forum równie dobrze można mieć pretensje do tasiorka że chłop sie namęczył i zrobił faq jak wszystko mozna znaleźć w google.

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 24 sierpnia 2006, 19:17 
Offline
Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec
hx pisze:
można mieć pretensje do tasiorka że chłop sie namęczył i zrobił faq jak wszystko mozna znaleźć w google.


Nie mam do nikogo pretensji, faq od Tasiorka jest świetne i tam można opisac te regułki, chodzi mi tylko o to, że sama regułka zastosowana bez dodatkowej wiedzy może narobić więcej kłopotu niż pożytku zarówno osobie ją stosującej jak i userom i tym z forum, którym chce się jeszcze odpisywać na powtarzające się nonstop te same pytania. :)

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 24 sierpnia 2006, 23:28 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
ale tak sie uczy najszybciej :) poznalem to na wlasnej skorze :)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 13:44 
Offline

Rejestracja: wtorek, 21 marca 2006, 21:09
Posty: 70
TheL pisze:
przekierowanie uzytkownika lanu na 1 ip zewnetrzny
: [/] [] ()
#!/bin/sh

USECOLOR=yes
. /etc/rc.d/functions
zewip=xx.xx.xx.xx #zewnetrzne ip ktore ma byc przydzielone
wewip=yy.yy.yy.yy #wewnetrzne ip
brd=xx.xx.xx.zz #adres rozgloszeniowy
mask=255.255.255.0 #maska sieci (zewnetrznej)
dev=eth0 #interfejs zewnetrzny (np. eth0)

case "$1" in
    start)
        stat_busy "Start przydzielania zewnetrznego IP"
        ifconfig $dev:2 $zewip broadcast $brd netmask $mask up
        /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
        /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
        /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT
        /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT
        /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT
        /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT
        stat_done
        ;;
    stop)
        stat_busy "Zatrzymanie przydzielania zewnetrznego IP"
        ifconfig $dev:2 down
        /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
        /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
        /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT
        /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT
        /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT
        /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT
        stat_done
        ;;
*)
        echo "usage $0 (start|stop|restart)"
esac
exit 0

a jakby wygladalo przekierowanie jednego portu z lanu, na zewnetrzne ip dsla? np. 80port na ostatni dostepny ip dsla.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 13:52 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
coś chyba za bardzo namieszałeś z tym pytaniem

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 14:32 
Offline

Rejestracja: wtorek, 21 marca 2006, 21:09
Posty: 70
hx pisze:
coś chyba za bardzo namieszałeś z tym pytaniem

Wiec napisze zebys zrozumial:

Internet dsl oferuje mi 4 zewnetrzne IP, wszystko narazie leci u mnie po IP nr. ...170. Potrzebuje skryptu ktory pozwoli mi zmienic IP dla portu 80tego.
Czyli:
wchodza sobie na stronke http://ip.pokapoka.pl/, i bede mial IP ...171, reszta np. DC ktorym sciagam pliki bedzie normlanie chodzil na ...170.

Potrzebuje teog do rapidshare, bo max 100mb/godzina.

Mysle ze juz bardziej nie da sie wytlumaczyc.

http://forum.freesco.pl/viewtopic.php?t=8909&start=100


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 15:02 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
do rapida wystarczy ci np program hide ip

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 16:51 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Cytuj:
#!/bin/sh

USECOLOR=yes
. /etc/rc.d/functions
zewip=xx.xx.xx.xx #zewnetrzne ip ktore ma byc przydzielone
wewip=yy.yy.yy.yy #wewnetrzne ip
brd=xx.xx.xx.zz #adres rozgloszeniowy
mask=255.255.255.248 #maska sieci (zewnetrznej)
dev=eth0 #interfejs zewnetrzny (np. eth0)

case "$1" in
start)
stat_busy "Start przydzielania zewnetrznego IP"
ifconfig $dev:2 $zewip broadcast $brd netmask $mask up
/usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -p tcp --sport 80 -d $zewip -j DNAT --to $wewip
/usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -p tcp --dport 80 -j SNAT --to $zewip
/usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT
/usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT
/usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT
/usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT
stat_done
;;
stop)
stat_busy "Zatrzymanie przydzielania zewnetrznego IP"
ifconfig $dev:2 down
/usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
/usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
/usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT
/usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT
/usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT
/usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT
stat_done
;;
*)
echo "usage $0 (start|stop|restart)"
esac
exit 0

UWAGA: Nie testowane, ale dzialac powinno ;)

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 25 sierpnia 2006, 18:15 
Offline

Rejestracja: wtorek, 21 marca 2006, 21:09
Posty: 70
dziala, kochany jestes :*


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 12:54 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
a ja jednak wole sobie sam wpisywac regulki...

zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 14:34 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
Myśle ze za radą adiego trzeba pokazać cały firewall i umieścić w odpowiednich miejscach regułki i wtedy sprawa będzie prosta

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 15:57 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Podłączę się pod temat, chociaż pytanie trochę z innej beczki.

Jak ograniczyć ruch na określonym porcie ?
Tak, żeby np. klient mógł jednocześnie korzystać z nie więcej niż jednego połączenia na dany port i/lub limitować ilość nawiązywanych przez niego połączeń na tym porcie do ileś_tam/jednostkę_czasu.

Jeden z moich klientów złapał wczoraj jakiegoś robala, co masowo rozsyła spam. Tak przynajmniej wynikałoby z faktu, iż upload skoczył mu niemiłosiernie i miał ze setkę połączeń na port tcp 25 (różne adresy). Na razie zablokowałem mu port 25, dopóki czegoś z tym nie zrobi.
Nie zawsze jednak jestem w stanie "trzymać rękę na pulsie" i monitorować ruch w sieci. Chodzi mi o to, żeby przynajmniej w jakimś stopniu utrudnić takim robalom działanie (nie chciałbym, żeby mój IP znalazł się na spamowych blacklistach), nie odbierając jednocześnie userom możliwości wysyłania "normalnej" poczty.

Wiem, że regułki, o które mi chodzi, znalazłbym na forum - ale, biorąc pod uwagę charakter tego wątku, postanowiłem zadać pytanie tutaj.

Blokada wysyłania poczty na porcie 25 dla konkretnego usera:
: [/] [] ()
iptables -I FORWARD -p tcp --dport 25 -s 192.68.1.17 -j DROP

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Ostatnio zmieniony sobota, 26 sierpnia 2006, 20:01 przez viater, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 16:59 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
czyli zrobiles to co potrzeba, niestety raz na jakis czas trzeba patrzec co w trawie piszczy, a nie spodziewac sie uniwersalnych rozwiazan ktore i tak nie zalatwia sprawy do konca.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 17:56 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
erni pisze:
a ja jednak wole sobie sam wpisywac regulki...

zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a...


za bezmyslnosc sie placi
na 100% brak maskarady.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 18:18 
Offline
Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz
viater pisze:
Na razie zablokowałem mu port 25, dopóki czegoś z tym nie zrobi.

Napisz odrazu stosowna regulke. Moze sie sprzydac.

PS. ja juz ten topic dodalem do ulubionych.

_________________
www.lan14.net


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 19:58 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
-MW- pisze:
czyli zrobiles to co potrzeba, niestety raz na jakis czas trzeba patrzec co w trawie piszczy, a nie spodziewac sie uniwersalnych rozwiazan ktore i tak nie zalatwia sprawy do konca.

Zdaję sobie sprawę, że limity, o których wspomniałem nie są "uniwersalnym rozwiązaniem, które i tak nie załatwia sprawy do końca", ale przynajmniej w jakimś stopniu "łagodzi" skutki działania tych robali i utrudnia im spełnianie swojej roli.

Wydaje mi się, że takie coś:
: [/] [] ()
iptables -A FORWARD -s 192.168.0.1 -p tcp --dport 25 -m connlimit --connlimit-above 1 -j DROP

powinno ograniczyć userowi możliwość nawiązywania więcej niż jednego połączenia na port 25. A jaką regułą zrobić, żeby ten limit dotyczył wszystich userów (każdego z osobna rzecz jasna) ?
Nie wiem też, jak mógłby wyglądać limit "czasowy" nawiązywania takich połączeń, czyli "nie więcej, niż n/sekundę albo n/minutę.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 20:46 
Offline
Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec
Może tak spróbuj:
: [/] [] ()
iptables -t filter -I FORWARD -s $IP -p tcp --dport 25 -m connlimit --connlimit-above 1 --connlimit-mask 32 -j DROP


Gdzie $IP to adres IP usera

Ale tutaj najlepiej jak się Zciech wypowie :)

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 26 sierpnia 2006, 20:52 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
czerwo pisze:
erni pisze:
a ja jednak wole sobie sam wpisywac regulki...

zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a...


za bezmyslnosc sie placi
na 100% brak maskarady.

Moze i tak...
Ja jednak wole pomyslec, rzy tworzeniu swojego firewall'a, przynajmniej sie czegos naucze...

niby to takie wszystko proste, ale jeszcze nie wiem co to maskarada :P

... i nie zrozum mnie zle, nie mam do nikogo pretensji o to, ze poswiecil swoj czas, aby inni mieli lepiej :)


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl