Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 13:39

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę 1, 2, 3  Następna
Autor Wiadomość
Post: środa, 23 sierpnia 2006, 13:24 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
Wiem że bardzo popularne są firewalle adiego i czerwa ale może dlatego ze ludzie mają problemy z regułkami.
Proponuje temat z przydatnymi regułkami iptables czyli : blokada p2p w danych godzina dla sieci dla usera,blokada macków ,squid ,limit połączeń itd.(taki mały opisik)

może zaczniemy od blokady p2p dla całej sieci w godzinach od 17 do 22
: [/] [] ()
iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00  -m ipp2p --ipp2p -j DROP

blokada p2p dla konkretnego ip w godzinach 17 do 22
: [/] [] ()
iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP

blokada całkowita p2p dla konkretnego ip
: [/] [] ()
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP

proxy dla całej sieci na porcie 3128
: [/] [] ()
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

przekierowanie portu 4657 dla ip 192.168.0.11 (np dla p2p)
: [/] [] ()
iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4657 -j DNAT --to 192.168.0.11

blokada adresu mac
: [/] [] ()
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP

ograniczenie ilości połączeń do 70
: [/] [] ()
echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 70 --connlimit-mask 32 -j DROP

lub
: [/] [] ()
iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP

blokada okreslonych portow (przykładowo od 600 do 800) dla okreslonego ip 192.168.0.11
: [/] [] ()
iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 600:800 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 600:800 -j DROP

blokada adresu ip dla przykładu 192.168.0.11
: [/] [] ()
iptables -A INPUT -s 192.168.0.11 -j DROP
iptables -A FORWARD -s 192.168.0.11 -j DROP
iptables -A INPUT -d 192.168.0.11 -j DROP
iptables -A FORWARD -d 192.168.0.11 -j DROP

blokada "podudostępniania" internetu (TTL)
dla konkretnego ip 192.168.0.11
i drugie dla całej sieci
: [/] [] ()
iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Ostatnio zmieniony środa, 23 sierpnia 2006, 22:48 przez hx, łącznie zmieniany 11 razy

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 13:33 
Offline
Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz
Dobry topic, czasami nie wiem jak cos dodac, popatrze na przyklad pokombinuje i raz zadziala, raz nie - ale ogolnie sprzyda sie taka sciaga.

_________________
www.lan14.net


Na górę
 Wyświetl profil  
 
Post: środa, 23 sierpnia 2006, 18:09 
Offline
Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec
hx pisze:
blokada adresu mac
: [/] [] ()
iptables -D INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -D FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP


Jesteś pewien tych regułek ??

Ja raczej dałbym tak:
(nie zagłębiając się w szczegóły)

: [/] [] ()
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 18:14 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
juz poprawiam

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 19:34 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
proponuje dodac wszystkie mozliwosci ograniczania ilosci polaczen...

a i wlasnie... blokada okreslonych portow, lub przedzialu portow. Przed chwila, zauwazylem u goscia jakies dziwne nawiazane polaczenia na portach 6345:6349
Jak sie okazalo to gnutella, z ktora najwyrazniej najnowsze ipp2p sobie nie poradzilo...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 19:44 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
dawajcie wszystko co macie bede wklejał do pierwszego topica i bedzie ładne vademecum

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 20:01 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
inny sposób ograniczenia ilosci polaczen (przyklad dla calej sieci)
: [/] [] ()
iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 20:08 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
blokada okreslonych portow (w przedziale x do y) dla okreslonego ip
: [/] [] ()
iptables -I FORWARD -s ip -p tcp --dport x:y -j DROP
iptables -I FORWARD -s ip -p udp --dport x:y -j DROP


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 20:08 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
tu bardzo prosze Zciecha CZerwa Adiego (kolejność przypadkowa) i innych strażako-murarzy o komentowanie regułek i ewentualne poprawki

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:43 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Blokada adresu ip

iptables -A INPUT -s IP -j DROP
iptables -A FORWARD -s IP -j DROP
iptables -A INPUT -d IP -j DROP
iptables -A FORWARD -d IP -j DROP

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:44 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
otwarcie portu 123 na interfejsie eth0 (zewnetrzny interfejs)
iptables -A INPUT -p tcp -i eth0 --dport 123 -j ACCEPT

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:46 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
ttl:
dla calego interfejsu
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1
dla usera:
iptables -t mangle -A POSTROUTING -d IP -j TTL --ttl-set 1

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:50 
Offline
PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów
: [/] [] ()
       iptables [-t table] -[AD] chain rule-specification [options]
       iptables [-t table] -I chain [rulenum] rule-specification [options]
       iptables [-t table] -R chain rulenum rule-specification [options]
       iptables [-t table] -D chain rulenum [options]
       iptables [-t table] -[LFZ] [chain] [options]
       iptables [-t table] -N chain
       iptables [-t table] -X [chain]
       iptables [-t table] -P chain target [options]
       iptables [-t table] -E old-chain-name new-chain-name

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:52 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
trzeba bylo napisac man iptables... .
Jak ktosz szuka gotowych rozwiazan to to jest bardzo dobre i uwazam ze nalezy do do faq dorzucic

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 21:59 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
a co to wszystko ma wspólnego z instalacją NND???
Spadać z tym wątkiem na wiki, albo do Hyde Parku. Ale chyba lepiej na wiki.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 22:05 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Misiu troche konsekwencji. Skoro spadac, to spadac ;)

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 22:10 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
Dwóch moderatorów się wypowiadało... i żaden z nich to ja.

P.S. Ja bym do wiki przeniósł, ale juz ledwie monitor widzę... nie mówiąc już o tym co wyświetla.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 22:26 
Offline
Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice
pierwsze trzeba utworzyc jakas wieksza baze i na wiki bedzie w sam raz :)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 22:38 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
hmm co jeszcze ?
-blokada komunikatorów dla konkretnego ip
-restart mrtg po restart iptables
-blokada udp dla konkretnego ip
-otwarcie portu na zewnątrz
-????????????

PS. chwile człowiek na film popatrzy i już go do hydeparku wyniosą :P

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.


Ostatnio zmieniony środa, 23 sierpnia 2006, 22:58 przez hx, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 23 sierpnia 2006, 22:45 
Offline

Rejestracja: poniedziałek, 12 czerwca 2006, 17:55
Posty: 77
Może jeszcze jak zablokować pingi do serwera z neta i lanu?


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę 1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl