Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Pytanko o iptables

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 14 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

przemek_nnd

Tytuł: Pytanko o iptables

: wtorek, 5 września 2006, 20:22

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

Mam pytanie:
przeglądałem kilka firewalli i zauważyłem różnicę np. w regułce
$i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
$i -A INPUT -p tcp -i $EXTIF --dport 80 -m state --state NEW -j ACCEPT
ta na dole wpuszcza tylko nowe połączenia a ta na górze wszystkie?
jak to ma się ma do siebie?

Na górę

myuser

Tytuł:

: wtorek, 5 września 2006, 20:30

Rejestracja: środa, 26 kwietnia 2006, 19:55
Posty: 35

jak ktos chce nawiazac polaczenie (wysyla pierwszy pakiet) to jest on wychwytywany w -m --state NEW. gdy komunikacja jest dalej utrzymywana mozna ja wychwycic przez --state ESTABLISHED. jak dana aplikacja chce cos jeszcze na innym porcie "pogadac" to masz --state RELATED.

Na górę

przemek_nnd

Tytuł:

: wtorek, 5 września 2006, 20:48

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

to w jakich przypadkach wykorzystywać te reguły?
masz jakieś przykłady

Na górę

myuser

Tytuł:

: wtorek, 5 września 2006, 21:04

Rejestracja: środa, 26 kwietnia 2006, 19:55
Posty: 35

np tak:

: [/] [] ()

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
...
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

GeSHi © Codebox Plus

Na górę

tasiorek

Tytuł:

: wtorek, 5 września 2006, 22:07

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

myuser pisze:

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
...
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Efekt identyczny daja te reguly:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
...
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
(jest jeszcze stan untracked i invalid, ale w wiekszosci przypadkow mozna je pominac)

przemek_nnd, skoro nie masz pomyslu jak je wykorzystac, to znaczy ze tego nie potrzebujesz. Chcesz na sile wykorzystac wszystkie mozliwosci modulow w iptables, czy jak?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

przemek_nnd

Tytuł:

: wtorek, 5 września 2006, 22:13

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

nie zupełnie - chce się dowiedzieć właśnie jak wykorzystywać te reguły i w jakich przypadkach

Na górę

tasiorek

Tytuł:

: wtorek, 5 września 2006, 22:23

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

A to juz nie jest tak, ze najpierw pojawia sie problem, a pozniej sie szuka rozwiazania?
Masz napisane co to oznacza, a wykorzystac mozesz do czego chcesz. Do mycia samochodu raczej sie nie nadadza, ale sprobowac mozesz.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

przemek_nnd

Tytuł:

: wtorek, 5 września 2006, 22:45

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

tasiorek pisze:

jak zwykle wpitalasz się i piszesz głupoty - lepiej w ogóle sie nie udzielaj niż masz zawracać mi czas... nie jesteś sam na tym forum

Na górę

tasiorek

Tytuł:

: wtorek, 5 września 2006, 22:48

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Jak zwykle prosze o podanie przykladu.
Wracajac to Twojego postu, to przeczytaj go jeszcze raz i sie zastanow. Masz dokladnie podane co do czego sluzy i dalej meczysz, jak to mozna wykorzystac. Nie uwazasz, ze to dziwne?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

przemek_nnd

Tytuł:

: wtorek, 5 września 2006, 23:05

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

a jednak jest różnica przy wykorzystywaniu --state
http://www.ziolek.piotrkow.pl/linux/iptablesi.htm
np.

Cytuj:

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
Powyższy wpis umożliwia korzystanie z portów 20 i 21 (ftp), ale tylko w trybie passive off klienta ftp. Istnieje jednak możliwość udostępnienia pracy w trybie passive on. Jednak trzeba pozwolić na wymianę pakietów pomiędzy dynamicznie przydzielanymi portami zarówno po stronie serwera, jak i klienta ftp. Umożliwia to analiza śledzenia połączeń modułów ip_conntrack i ip_connttack_ftp. W iptables realizuje się to przez opcję -m state. Stany które można sprawdzać to:

NEW (NOWY) - pakiet tworzący nowe połączenie;

ESTABLISHED (NAWIĄZUJĄCY) - pakiet należący do istniejącego połączenia;

RELATED (ZWIĄZANY) - pakiet związany z połączeniem już ustanowionym, ale nie będący jego częścią;

INVALID (BŁĘDNY) - pakiet błędny lub nie do zidentyfikowania.

Wracając do naszego przykładu, odpowiedni zapis w Iptables będzie miał postać:

iptables -A INPUT -m state --state RELATED -j ACCEPT

Na górę

myuser

Tytuł:

: środa, 6 września 2006, 14:43

Rejestracja: środa, 26 kwietnia 2006, 19:55
Posty: 35

Dobrze Przemek ale o tym juz Ci napisalismy - co to jest RELATED.
BTW: Wg mnie na tym forum jest zupelnie inna "polityka" niz na np forum.slackware.pl. Gdyby ktoś tam zalozyl taki topic to jedyna odpowiedz: google.pl i do /dev/null.

Na górę

marask

Tytuł:

: środa, 6 września 2006, 15:48

Użytkownik

Rejestracja: sobota, 26 listopada 2005, 07:47
Posty: 864

akurat pytanie było dobre
a skoro taka polityka Ci nie pasuje to idź sobie na slackware albo do /dev/null (jak wolisz). To, że inni są ciekawi funkcji i nie wiedzą do czego mogą się przydać to jeszcze nie powód, żeby odmawiać im informacji.

Na górę

tasiorek

Tytuł:

: środa, 6 września 2006, 17:15

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

marask pisze:

akurat pytanie było dobre

Widze, ze juz druga osoba tak uwaza, wiec prosze o wytlumaczenie mi, dlaczego. Nie odbierajcie tego jako zlosliwosc, czy czepianie sie. Pytam powaznie.
Nawet to co "odkryl" przemek_nnd bylo opisane w pierwszej odpowiedzi, wystarczy zaczac czytac ze zrozumieniem.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

przemek_nnd

Tytuł:

: środa, 6 września 2006, 19:43

Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek

temat uważam za zamknięty - bynajmniej dowiedziałem się tego co chciałem
nie ma co się złościć - trzeba sobie pomagać
pozdrawiam

Na górę

Strona 1 z 1

[ Posty: 14 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników