Freesco, NND, CDN, EOS :: Wyświetl temat

: [/] [] ()

iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00  -m ipp2p --ipp2p -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

GeSHi © Codebox Plus

: [/] [] ()

iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4657 -j DNAT --to 192.168.0.11

GeSHi © Codebox Plus

: [/] [] ()

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP

GeSHi © Codebox Plus

: [/] [] ()

echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 70 --connlimit-mask 32 -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 600:800 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 600:800 -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -A INPUT -s 192.168.0.11 -j DROP
iptables -A FORWARD -s 192.168.0.11 -j DROP
iptables -A INPUT -d 192.168.0.11 -j DROP
iptables -A FORWARD -d 192.168.0.11 -j DROP

GeSHi © Codebox Plus

: [/] [] ()

iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1

: [/] [] ()

iptables -D INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -D FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP

: [/] [] ()

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP

: [/] [] ()

iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP

: [/] [] ()

iptables -I FORWARD -s ip -p tcp --dport x:y -j DROP
iptables -I FORWARD -s ip -p udp --dport x:y -j DROP

: [/] [] ()

       iptables [-t table] -[AD] chain rule-specification [options]
       iptables [-t table] -I chain [rulenum] rule-specification [options]
       iptables [-t table] -R chain rulenum rule-specification [options]
       iptables [-t table] -D chain rulenum [options]
       iptables [-t table] -[LFZ] [chain] [options]
       iptables [-t table] -N chain
       iptables [-t table] -X [chain]
       iptables [-t table] -P chain target [options]
       iptables [-t table] -E old-chain-name new-chain-name

Autor:	hx [ środa, 23 sierpnia 2006, 13:24 ]
Tytuł:	Firewall iptables
Wiem że bardzo popularne są firewalle adiego i czerwa ale może dlatego ze ludzie mają problemy z regułkami. Proponuje temat z przydatnymi regułkami iptables czyli : blokada p2p w danych godzina dla sieci dla usera,blokada macków ,squid ,limit połączeń itd.(taki mały opisik) może zaczniemy od blokady p2p dla całej sieci w godzinach od 17 do 22 : [/] [] () iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP GeSHi © Codebox Plus blokada p2p dla konkretnego ip w godzinach 17 do 22 : [/] [] () iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP GeSHi © Codebox Plus blokada całkowita p2p dla konkretnego ip : [/] [] () iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP GeSHi © Codebox Plus proxy dla całej sieci na porcie 3128 : [/] [] () iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 GeSHi © Codebox Plus przekierowanie portu 4657 dla ip 192.168.0.11 (np dla p2p) : [/] [] () iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4657 -j DNAT --to 192.168.0.11 GeSHi © Codebox Plus blokada adresu mac : [/] [] () iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP GeSHi © Codebox Plus ograniczenie ilości połączeń do 70 : [/] [] () echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 70 --connlimit-mask 32 -j DROP GeSHi © Codebox Plus lub : [/] [] () iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP GeSHi © Codebox Plus blokada okreslonych portow (przykładowo od 600 do 800) dla okreslonego ip 192.168.0.11 : [/] [] () iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 600:800 -j DROP iptables -I FORWARD -s 192.168.0.11 -p udp --dport 600:800 -j DROP GeSHi © Codebox Plus blokada adresu ip dla przykładu 192.168.0.11 : [/] [] () iptables -A INPUT -s 192.168.0.11 -j DROP iptables -A FORWARD -s 192.168.0.11 -j DROP iptables -A INPUT -d 192.168.0.11 -j DROP iptables -A FORWARD -d 192.168.0.11 -j DROP GeSHi © Codebox Plus blokada "podudostępniania" internetu (TTL) dla konkretnego ip 192.168.0.11 i drugie dla całej sieci : [/] [] () iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1 iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1 GeSHi © Codebox Plus

Autor:	Luc3k [ środa, 23 sierpnia 2006, 13:33 ]
Tytuł:
Dobry topic, czasami nie wiem jak cos dodac, popatrze na przyklad pokombinuje i raz zadziala, raz nie - ale ogolnie sprzyda sie taka sciaga.

Autor:	adi [ środa, 23 sierpnia 2006, 18:09 ]
Tytuł:	Re: Firewall iptables
hx pisze: blokada adresu mac : [/] [] () iptables -D INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -D FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP GeSHi © Codebox Plus Jesteś pewien tych regułek ?? Ja raczej dałbym tak: (nie zagłębiając się w szczegóły) : [/] [] () iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP GeSHi © Codebox Plus

Autor:	hx [ środa, 23 sierpnia 2006, 18:14 ]
Tytuł:
juz poprawiam

Autor:	erni [ środa, 23 sierpnia 2006, 19:34 ]
Tytuł:
proponuje dodac wszystkie mozliwosci ograniczania ilosci polaczen... a i wlasnie... blokada okreslonych portow, lub przedzialu portow. Przed chwila, zauwazylem u goscia jakies dziwne nawiazane polaczenia na portach 6345:6349 Jak sie okazalo to gnutella, z ktora najwyrazniej najnowsze ipp2p sobie nie poradzilo...

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Firewall iptables http://forum.freesco.pl/viewtopic.php?f=28&t=13310	Strona 1 z 3

Autor:	hx [ środa, 23 sierpnia 2006, 19:44 ]
Tytuł:
dawajcie wszystko co macie bede wklejał do pierwszego topica i bedzie ładne vademecum

Autor:	erni [ środa, 23 sierpnia 2006, 20:01 ]
Tytuł:
inny sposób ograniczenia ilosci polaczen (przyklad dla calej sieci) : [/] [] () iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP GeSHi © Codebox Plus

Autor:	hx [ środa, 23 sierpnia 2006, 20:08 ]
Tytuł:
tu bardzo prosze Zciecha CZerwa Adiego (kolejność przypadkowa) i innych strażako-murarzy o komentowanie regułek i ewentualne poprawki

Autor:	czerwo [ środa, 23 sierpnia 2006, 21:43 ]
Tytuł:
Blokada adresu ip iptables -A INPUT -s IP -j DROP iptables -A FORWARD -s IP -j DROP iptables -A INPUT -d IP -j DROP iptables -A FORWARD -d IP -j DROP

Autor:	zciech [ środa, 23 sierpnia 2006, 21:50 ]
Tytuł:
: [/] [] () iptables [-t table] -[AD] chain rule-specification [options] iptables [-t table] -I chain [rulenum] rule-specification [options] iptables [-t table] -R chain rulenum rule-specification [options] iptables [-t table] -D chain rulenum [options] iptables [-t table] -[LFZ] [chain] [options] iptables [-t table] -N chain iptables [-t table] -X [chain] iptables [-t table] -P chain target [options] iptables [-t table] -E old-chain-name new-chain-name GeSHi © Codebox Plus

Autor:	Mis' [ środa, 23 sierpnia 2006, 21:59 ]
Tytuł:
a co to wszystko ma wspólnego z instalacją NND??? Spadać z tym wątkiem na wiki, albo do Hyde Parku. Ale chyba lepiej na wiki.

Autor:	tasiorek [ środa, 23 sierpnia 2006, 22:05 ]
Tytuł:
Misiu troche konsekwencji. Skoro spadac, to spadac

Autor:	Mis' [ środa, 23 sierpnia 2006, 22:10 ]
Tytuł:
Dwóch moderatorów się wypowiadało... i żaden z nich to ja. P.S. Ja bym do wiki przeniósł, ale juz ledwie monitor widzę... nie mówiąc już o tym co wyświetla.

Autor:	erni [ środa, 23 sierpnia 2006, 22:26 ]
Tytuł:
pierwsze trzeba utworzyc jakas wieksza baze i na wiki bedzie w sam raz

Autor:	czerwo [ środa, 23 sierpnia 2006, 21:52 ]
Tytuł:
trzeba bylo napisac man iptables... . Jak ktosz szuka gotowych rozwiazan to to jest bardzo dobre i uwazam ze nalezy do do faq dorzucic

Autor:	hx [ środa, 23 sierpnia 2006, 22:38 ]
Tytuł:
hmm co jeszcze ? -blokada komunikatorów dla konkretnego ip -restart mrtg po restart iptables -blokada udp dla konkretnego ip -otwarcie portu na zewnątrz -???????????? PS. chwile człowiek na film popatrzy i już go do hydeparku wyniosą

Autor:	anonimus [ środa, 23 sierpnia 2006, 22:45 ]
Tytuł:
Może jeszcze jak zablokować pingi do serwera z neta i lanu?

Strona 1 z 3	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/