Živjo! Dne Saturday 24 June 2006 23:01 je Matevz Jekovec napisal(a): > Hoj. > > Imam dve vprašanji glede mojega požarnega zidu na strežniku: > 1) Strežnik mi obenem streže tudi DHCP. Če poženem > $ iptables -P INPUT ACCEPT > , odjemalci dobijo IP brez problema. Če pa dam $ iptables -p INPUT DROP > in v INPUT dodam port 67 in 68 UDP in TCP: > ACCEPT tcp -- anywhere anywhere tcp > dpts:bootps:bootpc > ACCEPT udp -- anywhere anywhere udp > dpts:bootps:bootpc > , odjemalci ne morejo dobiti IP naslova več. Sem še kaj falil?!
Dodati moraš pravila, ki dopustijo uporabo DHCP. Enostavnejši požarni zid je na primer (vsebina datoteke /etc/sysconfig/iptables): :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m state --state NEW -m limit --limit 20/sec --limit-burst 40 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT COMMIT Nastavitve so naslednje: - dopusti ves promet z vmesnika 'lo' (loopback) - uporabi mehanizem spremljanja povezav in dovoli vse povezave, ki so v sorodu s kakšno izmed izhodnih povezav - dovoli le 20 "tujih" paketov ICMP na sekundo - dovoli SSH Več o iptables: http://www.netfilter.org > 2) Ob vsakem DROPu paketka mi po konzoli izpisuje svinjarijo. Kakšna > možnost, da imam pod LOG še vedno nekatera pravila (hočem, da se mi > zapišejo v /var/log nekam), vendar ne na zaslon. Poglej si nastavitve v /etc/syslog.conf Bolj natančno je stvar opisana v "man syslog.conf" Verjetno pa je zvito ustrezno nastaviti --log-level: http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html -- lep pozdrav, Rok Papež. _______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list