Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Firewall iptables http://forum.freesco.pl/viewtopic.php?f=28&t=13310 |
Strona 2 z 3 |
Autor: | -MW- [ czwartek, 24 sierpnia 2006, 00:14 ] |
Tytuł: | |
# -- blokada udp iptables -t filter -I FORWARD -p udp -s $IP --dport ! 53 -j DROP iptables -t filter -I FORWARD -p udp -d $IP --sport ! 53 -j DROP i bez obaw ze net nie bedzie dzialal |
Autor: | adi [ czwartek, 24 sierpnia 2006, 10:19 ] |
Tytuł: | |
-MW- pisze: iptables -t filter -I FORWARD -p udp -s $IP --dport ! 53 -j DROP
iptables -t filter -I FORWARD -p udp -d $IP --sport ! 53 -j DROP I tutaj widzisz wchodzimy w inne obszary wiedzy. 1. Stworzymy sobie vademecum tego co można poblokować (popieram tutaj Zciech'a - man iptables lub inne Google... ) i teraz rządny władzy młody admin powpisuje, nawpisuje nie wiadomo gdzie i nie wiadomo co. Nagle mu zdechnie wszystko i się zaczną posty na forum - nie działa mi... Druga sprawa to zależności, to co napisałeś powyżej np. ma znaczenie przy zainstalowanym bindzie - ale tej informacji tutaj już nie ma. Za chwilę ktoś wrzuci blokadę p2p - oczywiście - ale - trzeba mieć ipp2p (najlepiej takie, z przyszłości ) itp... Oczywiście zdaję sobie sprawę, że wiedza jest bezcenna i taka lista jest ważna, natomiast patrząc z drugiej strony nie wyobrażam sobie zarządzania siecią, nawet złożoną z kilkunastu userów i "ręcznego" używania tych "regułek". Stąd robota Zciech'a, Czerw'a i trochę mojej, żeby było prosto, łatwo i przyjemnie. A jak ktoś chce się nauczyć to wszystko na forum ma - wraz z opisem. Czytając większość z wątków można zrozumieć dużo więcej, niż wchodząc na listę dostępnych regułek. Istnieją również inne problemy: w jakim pliku to dopisać, gdzie to dopisać i w jakiej kolejności, jak każdy będzie miał to w innym miejscu z ręki wpisane to stopień komplikacji przy próbie pomocy takiej osobie znacznie wzrośnie. |
Autor: | hx [ czwartek, 24 sierpnia 2006, 16:54 ] |
Tytuł: | |
tak tylko czy "prosto, łatwo i przyjemnie" nie powoduje że admin jest lekko "upośledzony" Jak ktos chce pokombinować to powpisuje sobie regułki a jak chce iść na łatwizne to ma do wyboru dwa firewalle gdzie wystarczy znać cyfre zero i cyfre jeden do prawidłowej konfiguracji.Pytanie o te regułki są w co trzecim temacie na forum równie dobrze można mieć pretensje do tasiorka że chłop sie namęczył i zrobił faq jak wszystko mozna znaleźć w google. |
Autor: | adi [ czwartek, 24 sierpnia 2006, 19:17 ] |
Tytuł: | |
hx pisze: można mieć pretensje do tasiorka że chłop sie namęczył i zrobił faq jak wszystko mozna znaleźć w google.
Nie mam do nikogo pretensji, faq od Tasiorka jest świetne i tam można opisac te regułki, chodzi mi tylko o to, że sama regułka zastosowana bez dodatkowej wiedzy może narobić więcej kłopotu niż pożytku zarówno osobie ją stosującej jak i userom i tym z forum, którym chce się jeszcze odpisywać na powtarzające się nonstop te same pytania. |
Autor: | -MW- [ czwartek, 24 sierpnia 2006, 23:28 ] |
Tytuł: | |
ale tak sie uczy najszybciej poznalem to na wlasnej skorze |
Autor: | tompl [ piątek, 25 sierpnia 2006, 13:44 ] |
Tytuł: | |
TheL pisze: przekierowanie uzytkownika lanu na 1 ip zewnetrzny
#!/bin/sh USECOLOR=yes . /etc/rc.d/functions zewip=xx.xx.xx.xx #zewnetrzne ip ktore ma byc przydzielone wewip=yy.yy.yy.yy #wewnetrzne ip brd=xx.xx.xx.zz #adres rozgloszeniowy mask=255.255.255.0 #maska sieci (zewnetrznej) dev=eth0 #interfejs zewnetrzny (np. eth0) case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" ifconfig $dev:2 $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" ifconfig $dev:2 down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT stat_done ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 a jakby wygladalo przekierowanie jednego portu z lanu, na zewnetrzne ip dsla? np. 80port na ostatni dostepny ip dsla. |
Autor: | hx [ piątek, 25 sierpnia 2006, 13:52 ] |
Tytuł: | |
coś chyba za bardzo namieszałeś z tym pytaniem |
Autor: | tompl [ piątek, 25 sierpnia 2006, 14:32 ] |
Tytuł: | |
hx pisze: coś chyba za bardzo namieszałeś z tym pytaniem
Wiec napisze zebys zrozumial: Internet dsl oferuje mi 4 zewnetrzne IP, wszystko narazie leci u mnie po IP nr. ...170. Potrzebuje skryptu ktory pozwoli mi zmienic IP dla portu 80tego. Czyli: wchodza sobie na stronke http://ip.pokapoka.pl/, i bede mial IP ...171, reszta np. DC ktorym sciagam pliki bedzie normlanie chodzil na ...170. Potrzebuje teog do rapidshare, bo max 100mb/godzina. Mysle ze juz bardziej nie da sie wytlumaczyc. http://forum.freesco.pl/viewtopic.php?t=8909&start=100 |
Autor: | hx [ piątek, 25 sierpnia 2006, 15:02 ] |
Tytuł: | |
do rapida wystarczy ci np program hide ip |
Autor: | tasiorek [ piątek, 25 sierpnia 2006, 16:51 ] |
Tytuł: | |
Cytuj: #!/bin/sh
USECOLOR=yes . /etc/rc.d/functions zewip=xx.xx.xx.xx #zewnetrzne ip ktore ma byc przydzielone wewip=yy.yy.yy.yy #wewnetrzne ip brd=xx.xx.xx.zz #adres rozgloszeniowy mask=255.255.255.248 #maska sieci (zewnetrznej) dev=eth0 #interfejs zewnetrzny (np. eth0) case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" ifconfig $dev:2 $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -p tcp --sport 80 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -p tcp --dport 80 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" ifconfig $dev:2 down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT stat_done ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 UWAGA: Nie testowane, ale dzialac powinno |
Autor: | tompl [ piątek, 25 sierpnia 2006, 18:15 ] |
Tytuł: | |
dziala, kochany jestes :* |
Autor: | erni [ sobota, 26 sierpnia 2006, 12:54 ] |
Tytuł: | |
a ja jednak wole sobie sam wpisywac regulki... zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a... |
Autor: | hx [ sobota, 26 sierpnia 2006, 14:34 ] |
Tytuł: | |
Myśle ze za radą adiego trzeba pokazać cały firewall i umieścić w odpowiednich miejscach regułki i wtedy sprawa będzie prosta |
Autor: | viater [ sobota, 26 sierpnia 2006, 15:57 ] |
Tytuł: | |
Podłączę się pod temat, chociaż pytanie trochę z innej beczki. Jak ograniczyć ruch na określonym porcie ? Tak, żeby np. klient mógł jednocześnie korzystać z nie więcej niż jednego połączenia na dany port i/lub limitować ilość nawiązywanych przez niego połączeń na tym porcie do ileś_tam/jednostkę_czasu. Jeden z moich klientów złapał wczoraj jakiegoś robala, co masowo rozsyła spam. Tak przynajmniej wynikałoby z faktu, iż upload skoczył mu niemiłosiernie i miał ze setkę połączeń na port tcp 25 (różne adresy). Na razie zablokowałem mu port 25, dopóki czegoś z tym nie zrobi. Nie zawsze jednak jestem w stanie "trzymać rękę na pulsie" i monitorować ruch w sieci. Chodzi mi o to, żeby przynajmniej w jakimś stopniu utrudnić takim robalom działanie (nie chciałbym, żeby mój IP znalazł się na spamowych blacklistach), nie odbierając jednocześnie userom możliwości wysyłania "normalnej" poczty. Wiem, że regułki, o które mi chodzi, znalazłbym na forum - ale, biorąc pod uwagę charakter tego wątku, postanowiłem zadać pytanie tutaj. Blokada wysyłania poczty na porcie 25 dla konkretnego usera: |
Autor: | -MW- [ sobota, 26 sierpnia 2006, 16:59 ] |
Tytuł: | |
czyli zrobiles to co potrzeba, niestety raz na jakis czas trzeba patrzec co w trawie piszczy, a nie spodziewac sie uniwersalnych rozwiazan ktore i tak nie zalatwia sprawy do konca. |
Autor: | czerwo [ sobota, 26 sierpnia 2006, 17:56 ] |
Tytuł: | |
erni pisze: a ja jednak wole sobie sam wpisywac regulki...
zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a... za bezmyslnosc sie placi na 100% brak maskarady. |
Autor: | Luc3k [ sobota, 26 sierpnia 2006, 18:18 ] |
Tytuł: | |
viater pisze: Na razie zablokowałem mu port 25, dopóki czegoś z tym nie zrobi.
Napisz odrazu stosowna regulke. Moze sie sprzydac. PS. ja juz ten topic dodalem do ulubionych. |
Autor: | viater [ sobota, 26 sierpnia 2006, 19:58 ] |
Tytuł: | |
-MW- pisze: czyli zrobiles to co potrzeba, niestety raz na jakis czas trzeba patrzec co w trawie piszczy, a nie spodziewac sie uniwersalnych rozwiazan ktore i tak nie zalatwia sprawy do konca.
Zdaję sobie sprawę, że limity, o których wspomniałem nie są "uniwersalnym rozwiązaniem, które i tak nie załatwia sprawy do końca", ale przynajmniej w jakimś stopniu "łagodzi" skutki działania tych robali i utrudnia im spełnianie swojej roli. Wydaje mi się, że takie coś: iptables -A FORWARD -s 192.168.0.1 -p tcp --dport 25 -m connlimit --connlimit-above 1 -j DROP powinno ograniczyć userowi możliwość nawiązywania więcej niż jednego połączenia na port 25. A jaką regułą zrobić, żeby ten limit dotyczył wszystich userów (każdego z osobna rzecz jasna) ? Nie wiem też, jak mógłby wyglądać limit "czasowy" nawiązywania takich połączeń, czyli "nie więcej, niż n/sekundę albo n/minutę. |
Autor: | adi [ sobota, 26 sierpnia 2006, 20:46 ] |
Tytuł: | |
Może tak spróbuj: iptables -t filter -I FORWARD -s $IP -p tcp --dport 25 -m connlimit --connlimit-above 1 --connlimit-mask 32 -j DROP Gdzie $IP to adres IP usera Ale tutaj najlepiej jak się Zciech wypowie |
Autor: | erni [ sobota, 26 sierpnia 2006, 20:52 ] |
Tytuł: | |
czerwo pisze: erni pisze: a ja jednak wole sobie sam wpisywac regulki... zainstalowalem firewall od czerwo, skonfigurowalem... i tyle sie nacieszylem internetem z nowo postawionego serwera... wszystko padlo i sie jeszcze musialem nameczyc, zeby usunac resztki firewall'a... za bezmyslnosc sie placi na 100% brak maskarady. Moze i tak... Ja jednak wole pomyslec, rzy tworzeniu swojego firewall'a, przynajmniej sie czegos naucze... niby to takie wszystko proste, ale jeszcze nie wiem co to maskarada ... i nie zrozum mnie zle, nie mam do nikogo pretensji o to, ze poswiecil swoj czas, aby inni mieli lepiej |
Strona 2 z 3 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |