ipchains

2001-02-15 Thread Dmitry V. Glushenok 

Hi debian-russian!

если оффтопик, то сорри

в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)

как я понимаю, если маскарад настроен так:
ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ

то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
то смогу увидеть 192.168.0.* и всю локальную подсетку.

тогда если мне надо, чтобы никто из инета не видел мою подсетку,
мне надо прописать маскарад следующим образом:
ipchains -P forward DENY
ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i 
eth0 -j MASQ


мои рассуждения верны?

--
Best regards,
  Dmitry Glushenok

PS: если есть среди читающих сетевой гуру, который мог бы помочь с 
возникающими

  вопросами, и которому это будет не лень - китьне мыло

ipchains

2003-01-28 Thread Зуев Денис Александрович 
Title: Сообщение



Привет!
 
Я правильно понимаю, 
что iptables - это более рулезная замена ipchains, но при этом не исключается 
использование ipchains? Дело в том, что у меня стоит ужасный Мандрейк 7.0, сто 
лет не поддерживавшийся в совершенно ужасном состоянии при этом в весьма 
критичном месте. На нём работает система статистики траффика на основе 
ipchains (далее - Система). Хочется постаить Woodo и после этого при 
необходимости её переделывать (её всё равно надо переделывать, она уже не 
адекватна). Если я переставлю Linux, а затем просто поставлю поверх существующую 
Систему - это прокатит?
 
Функции Системы 
следующие: есть админ, который разрешает пропустить определёное кол-во 
траффика с определённого IP (это Интернет-клуб). После пропуска 
этого кол-ва траффика система запрещает дальнейшее его прохождение. И всё. У 
админа работает простенький графический клиент (есть исходники), который по UDP 
общается с сервером. На сервере - перловый скрипт, который слушает порт, 
выполняет команды и ведёт учёт траффика. Всё. Всё просто и мне нравится, но всё 
же: есть ли аналогичные готовые системы?
 
Заранее 
спасибо!
 
==
С уважением, Денис Зуев
Компания АСК, Екатеринбург
т. (3432) 
71-44-44
ICQ#: 35177372
 
 

ipchains

2000-09-27 Thread Konstantin Kubatkin 

 а чем народ пользуется для конфигурирования ipchains? я попробовал
fwctl, но он меня не устроил по ряду причин :( или придется все
описывать руками?

PS: используется Potato и kernel 2.2.17

-- 
Konstantin Kubatkin
KK4501-RIPE, Kherson, TriLogiC Group
Fido: 2:468/[EMAIL PROTECTED]

ipchains

2000-10-06 Thread Igor Mikhailov 

В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?

С наилучшими пожеланиями,
  Игорь Михайлов.
--
 Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD

ipchains

2005-09-06 Thread Serja 
Нужен ли для ядра 2.6.х пакет ipchains? Мне кажется, что нет, но думаю спрошу 
более опытных.
Просто заметил, что он у меня видимо установился по умолчанию при инсталляции 
системы. Установлен также iptables, но про этот пакет вопросов нет.
Заранее благодарен!

Re: ipchains

2001-02-15 Thread Victor Vislobokov 
> в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
>
> как я понимаю, если маскарад настроен так:
> ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
>
> то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> то смогу увидеть 192.168.0.* и всю локальную подсетку.

 Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.

> тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> мне надо прописать маскарад следующим образом:
> ipchains -P forward DENY
> ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> eth0 -j MASQ
>
> мои рассуждения верны?

   Как и и сказал не совсем. Хотя в целях паранои второй вариант более
предпочтителен чем первый.
   Зато второй вариант (как и первый впрочем) спокойно дает возможность
троянским вирусам рассылать твои данные из машин внутренней сети по
просторам Интернет.
   На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
а только определенным машинам и на определенные порты, а лучше всего
вообще избегать использования макскарада и пользоваться различными прокси,
с авторизацией доступа, начиная от squid и заканчивая socks5.

Виктор

Re: ipchains

2001-02-15 Thread Alexey Vyskubov 
> > в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
> >
> > как я понимаю, если маскарад настроен так:
> > ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
> >
> > то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> > то смогу увидеть 192.168.0.* и всю локальную подсетку.
> 
>  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> маршрутизировать пакеты для запрещенных адресов, а именно таковые
> стоят у тебя в сетке.

Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не "запрещенные", а "приватные".

> > тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> > мне надо прописать маскарад следующим образом:
> > ipchains -P forward DENY
> > ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> > eth0 -j MASQ
> >
> > мои рассуждения верны?
> 
>Как и и сказал не совсем.

Рассуждения верны.

>На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
> а только определенным машинам и на определенные порты, а лучше всего
> вообще избегать использования макскарада и пользоваться различными прокси,
> с авторизацией доступа, начиная от squid и заканчивая socks5.

Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?

-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!

Re: ipchains

2001-02-15 Thread Victor Vislobokov 
> >  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> > маршрутизировать пакеты для запрещенных адресов, а именно таковые
> > стоят у тебя в сетке.
>
> Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
> 192.168.x.x не "запрещенные", а "приватные".

 Я не буду с тобой спорить. Если твой провайдер позволит тебе
маршрутизировать
через себя пакеты для этих адресов, то мне остается поздравить как твоего
провайдера
так и тебя.

> >На мой взляд маскарад нужно давать не всем подряд и не на все
подряд,
> > а только определенным машинам и на определенные порты, а лучше всего
> > вообще избегать использования макскарада и пользоваться различными
прокси,
> > с авторизацией доступа, начиная от squid и заканчивая socks5.
>
> Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?

  Когда ты узнаешь будет поздно! Лучше быть параноиком чем быть
взломаным.

Виктор

Re: ipchains

2001-02-16 Thread Alexey Vyskubov 
> > >  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> > > маршрутизировать пакеты для запрещенных адресов, а именно таковые
> > > стоят у тебя в сетке.
> >
> > Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
> > 192.168.x.x не "запрещенные", а "приватные".
> 
>  Я не буду с тобой спорить. Если твой провайдер позволит тебе
> маршрутизировать
> через себя пакеты для этих адресов, то мне остается поздравить как твоего
> провайдера
> так и тебя.

Политика провайдера и "уважение к себе" маршрутизатора -- вещи разные.
> 
> > >На мой взляд маскарад нужно давать не всем подряд и не на все
> подряд,
> > > а только определенным машинам и на определенные порты, а лучше всего
> > > вообще избегать использования макскарада и пользоваться различными
> прокси,
> > > с авторизацией доступа, начиная от squid и заканчивая socks5.
> >
> > Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?
> 
>   Когда ты узнаешь будет поздно! Лучше быть параноиком чем быть
> взломаным.

Так и я о том же. Это было без тени иронии, серьезно :-|
-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!


pgpATOA7aMC79.pgp
Description: PGP signature

ipchains rules

2001-04-11 Thread George Sergeyev 
Как правильно будет звучать заклинание для ipchains ver 1.3.9, запрещающее 
прием icmp echo-request пакетов из ненадежной части сети. Безрезультатно 
перепробовал множество комбинаций. (1002-я ночь)

Re: ipchains

2003-01-29 Thread Ilya Palagin 

Зуев Денис Александрович wrote:

Привет!
 
Я правильно понимаю, что iptables - это более рулезная замена ipchains, 
но при этом не исключается использование ipchains? Дело в том, что у 
Они не могут работать одновременно, по отдельности - без проблем (в 
ядрах 2.4.*)


меня стоит ужасный Мандрейк 7.0, сто лет не поддерживавшийся в 

...
Если я переставлю Linux, а затем просто поставлю поверх существующую 
Систему - это прокатит?


По крайней мере ipchains своей функциональности не утратит. Если 
выберешь ядро 2.4*, не забудь сделать modprobe ipchains, т.к. по 
умолчанию оно использует iptables.

Re: ipchains

2003-01-29 Thread Герасимов Д . С . 
Hello Зуев,

Wednesday, January 29, 2003, 8:11:45 AM, you wrote:

>>From [EMAIL PROTECTED]  Wed Jan 29 08:40:10 2003
ЗДА> Return-Path: <[EMAIL PROTECTED]>
ЗДА> Received: from murphy.debian.org (murphy.debian.org [65.125.64.134])
ЗДА> by ns.podlipki.ru (8.9.3/8.9.3) with ESMTP id IAA23471
ЗДА> for <[EMAIL PROTECTED]>; Wed, 29 Jan 2003 08:40:10 +0300
ЗДА> Received: from localhost (localhost [127.0.0.1])
ЗДА> by murphy.debian.org (Postfix) with QMQP
ЗДА> id 719F91F58D; Tue, 28 Jan 2003 23:25:47 -0600 (CST)
ЗДА> Old-Return-Path: <[EMAIL PROTECTED]>
ЗДА> Received: from ask.ru (vpn.ask.ru [195.12.72.146])
ЗДА> by murphy.debian.org (Postfix) with ESMTP id F040F1F432
ЗДА> for ; Tue, 28 Jan 2003 23:11:49 
-0600 (CST)
ЗДА> MIME-Version: 1.0
ЗДА> Content-Type: multipart/alternative;
ЗДА>     boundary="_=_NextPart_001_01C2C754.EB162EB8"
ЗДА> Subject: ipchains
ЗДА> X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0
ЗДА> content-class: urn:content-classes:message
ЗДА> Date: Wed, 29 Jan 2003 10:11:45 +0500
ЗДА> Message-ID: <[EMAIL PROTECTED]>
ЗДА> X-MS-Has-Attach: 
ЗДА> X-MS-TNEF-Correlator: 
ЗДА> Thread-Topic: ipchains
ЗДА> Thread-Index: AcLHVOp2vLCuC/bATKKoXmLccXKMdw==
ЗДА> From: =?koi8-r?B?+tXF1yDkxc7J0yDhzMXL08HOxNLP18ne?= <[EMAIL PROTECTED]>
ЗДА> To: 
ЗДА> X-Spam-Status: No, hits=3.5 required=4.0
ЗДА> tests=HTML_FONT_FACE_CAPS,HTML_FONT_FACE_ODD,LINES_OF_YELLING,
ЗДА>   MIME_EXCESSIVE_QP,SPAM_PHRASE_00_01,SUPERLONG_LINE
ЗДА> version=2.43
ЗДА> X-Spam-Level: ***
ЗДА> Resent-Message-ID: <[EMAIL PROTECTED]>
ЗДА> Resent-From: debian-russian@lists.debian.org
ЗДА> X-Mailing-List:  archive/latest/19809
ЗДА> X-Loop: debian-russian@lists.debian.org
ЗДА> List-Post: <mailto:debian-russian@lists.debian.org>
ЗДА> List-Help: <mailto:[EMAIL PROTECTED]>
ЗДА> List-Subscribe: <mailto:[EMAIL PROTECTED]>
ЗДА> List-Unsubscribe: <mailto:[EMAIL PROTECTED]>
ЗДА> Precedence: list
ЗДА> Resent-Sender: [EMAIL PROTECTED]
ЗДА> Resent-Date: Tue, 28 Jan 2003 23:25:47 -0600 (CST)
ЗДА> X-UIDL: 4248730c9f8641dc06e4e0f135c4b4ed

ЗДА> Привет!
 
ЗДА> Я правильно понимаю, что iptables - это более рулезная замена ipchains, но 
при этом не исключается использование ipchains? Дело в том, что у меня стоит 
ужасный Мандрейк 7.0, сто лет не
ЗДА> поддерживавшийся в совершенно ужасном состоянии при этом в весьма 
критичном месте. На нём работает система статистики траффика на основе ipchains 
(далее - Система). Хочется постаить Woodo и
ЗДА> после этого при необходимости её переделывать (её всё равно надо 
переделывать, она уже не адекватна). Если я переставлю Linux, а затем просто 
поставлю поверх существующую Систему - это прокатит?
 
ЗДА> Функции Системы следующие: есть админ, который разрешает пропустить 
определёное кол-во траффика с определённого IP (это Интернет-клуб). После 
пропуска этого кол-ва траффика система запрещает
ЗДА> дальнейшее его прохождение. И всё. У админа работает простенький 
графический клиент (есть исходники), который по UDP общается с сервером. На 
сервере - перловый скрипт, который слушает порт,
ЗДА> выполняет команды и ведёт учёт траффика. Всё. Всё просто и мне нравится, 
но всё же: есть ли аналогичные готовые системы?
 
ЗДА> Заранее спасибо!
 
ЗДА> ==
ЗДА> С уважением, Денис Зуев
ЗДА> Компания АСК, Екатеринбург
ЗДА> т. (3432) 71-44-44
ЗДА> ICQ#: 35177372

может да, а может нет. В ядре(2.4.x) должна быть поддержка ipchains,
кроме того если у Вас используются модули для маскарадинга, скажем для
ftp или icq то и они тоже потребуются. одним словом надо пробовать..
 



-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

Re: ipchains

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 12:01:45 +0600, Ilya Palagin wrote:

> Зуев Денис Александрович wrote:
> >Привет!
> > 
> >Я правильно понимаю, что iptables - это более рулезная замена ipchains, 
> >но при этом не исключается использование ipchains? Дело в том, что у 
> Они не могут работать одновременно, по отдельности - без проблем (в 
> ядрах 2.4.*)

Да, разве? А мне не удалось обеспечить маскарадинг активного ftp
с использованием ipchains. На 2.2 работало, на 2.4 перестало.

Просто после загрузки ipchains.o ip_conntrack.o не грузился.

Пришлось срочно перелезать на iptables, после чего все стало даже еще
лучше чем раньше.

> >меня стоит ужасный Мандрейк 7.0, сто лет не поддерживавшийся в 
> ...
> >Если я переставлю Linux, а затем просто поставлю поверх существующую 
> >Систему - это прокатит?

Весьма вероятно. Только ядро надо ставить 2.2 последнее. Чтобы не
топтаться по тонким граблям совместимости между ipchains в 2.2 и 2.4.
Впрочем woody умеет и с тем и с другим ядром работать.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

RE: ipchains

2003-01-29 Thread Зуев Денис Александрович 
Ok, общее направление понятно - придётся сначала переписать, а потом 
переставлять. Всем спасибо.

==
С уважением, Денис Зуев
Компания АСК, Екатеринбург
т. (3432) 71-44-44
ICQ#: 35177372

> 
> Весьма вероятно. Только ядро надо ставить 2.2 последнее. 
> Чтобы не топтаться по тонким граблям совместимости между 
> ipchains в 2.2 и 2.4. Впрочем woody умеет и с тем и с другим 
> ядром работать.
>

Re: ipchains

2003-01-29 Thread Ilya Palagin 

Victor Wagner wrote:
...

Да, разве? А мне не удалось обеспечить маскарадинг активного ftp
с использованием ipchains. На 2.2 работало, на 2.4 перестало.

Просто после загрузки ipchains.o ip_conntrack.o не грузился.
Я, честно говоря, не помню процесс перетаскивания своего 
firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для 
прозрачного прокси. В общем, было это в другом дистрибутиве, так что 
неважно. Но по крайней мере фильтрация пакетов и  получение статистики 
должны работать.




Пришлось срочно перелезать на iptables, после чего все стало даже еще
лучше чем раньше.

Есть недостаток - отсутствие check режима. Автор iptables объясняет это 
новыми функциями вроде проверки tcp флагов, учитывать которые 
затруднительно. Интересно, есть ли какой-нибудь инструмент для этих 
целей (проверять, пройдет ли пакет через цепочки, заданные с помощью 
iptables)?

Re: ipchains

2000-09-27 Thread Dmitry Maevsky 
Konstantin Kubatkin wrote:
> 
>  а чем народ пользуется для конфигурирования ipchains? я попробовал
> fwctl, но он меня не устроил по ряду причин :( или придется все
> описывать руками?

Руки - самый правильный UI в мире! :)
__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
Всегда найдётся в Африке один негр, 
который будет учить скандинава на лыжах кататься.

Re: ipchains

2000-09-27 Thread dima 
On Wed, Sep 27, 2000 at 10:34:32AM +0300, Konstantin Kubatkin wrote:
> 
>  а чем народ пользуется для конфигурирования ipchains? я попробовал
> fwctl, но он меня не устроил по ряду причин :( или придется все
> описывать руками?
> 
> PS: используется Potato и kernel 2.2.17

Привет.
Я использую ipmasq (название не значит что этот пакет только для
маскарадинга). И вправлять вручную правил пришлось немало :)
И это по моему правильно . По крайней мере будешь точно знать как ОНО работает .
ipmasq мне помогает избавиться от некоторой рутины. 

удачи.

-- 
Dmitry Kensman

Re: ipchains

2000-10-08 Thread Dmitry Maevsky 
Igor Mikhailov wrote:
> 
> В каком бы файлике было правильно прописать правила для ipchains, если
> хост имеет постоянное кабельное соединение с инетом?
> 
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)

__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
Свежо придание - ДА НИ ХРЕНА НЕ ВЕРИТСЯ!

Re: ipchains

2000-10-09 Thread Igor Mikhailov 
On Mon, 9 Oct 2000, Dmitry Maevsky wrote:

> > В каком бы файлике было правильно прописать правила для ipchains, если
> > хост имеет постоянное кабельное соединение с инетом?
> 2'a варианта /etc/init.d/networks или самому сделать
> /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
А аналога rc.local (в RH) нету?

С наилучшими пожеланиями,
  Игорь Михайлов.
--
 Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD

Re: ipchains

2000-10-09 Thread Dmitry Maevsky 
Igor Mikhailov wrote:
> 
> On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
> 
> > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > хост имеет постоянное кабельное соединение с инетом?
> > 2'a варианта /etc/init.d/networks или самому сделать
> > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> А аналога rc.local (в RH) нету?
> 
Насколько я помню RH нету :)), развечто /etc/init.d/rcS с натяжкой,
проследи от /etc/inittab там вызывается /etc/init.d/rcS а потом
/etc/init.d/rc N , где N-runlevel 

__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
"INTEL INSIDE" is not a trademark it's a WARNING.
("INTEL INSIDE" - это не торговая марка. Это предупреждение.)

Re: ipchains

2000-10-10 Thread Victor Wagner 
On Tue, 10 Oct 2000, Igor Mikhailov wrote:

> From: Igor Mikhailov <[EMAIL PROTECTED]>
> Subject: Re: ipchains
> 
> On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
> 
> > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > хост имеет постоянное кабельное соединение с инетом?
> > 2'a варианта /etc/init.d/networks или самому сделать
> > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> А аналога rc.local (в RH) нету?

Нету, и слава богу - либо уж sysV style, либо BSD style.

 
> С наилучшими пожеланиями,
>   Игорь Михайлов.
> --
>  Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD
> 
> 
> --  
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

-- 
Victor Wagner   [EMAIL PROTECTED]
Programmer  Office:7-(095)-785-09-72
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ipchains

2000-10-10 Thread Igor Mikhailov 
On Tue, 10 Oct 2000, Victor Wagner wrote:

> > > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > > хост имеет постоянное кабельное соединение с инетом?
> > > 2'a варианта /etc/init.d/networks или самому сделать
> > > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> > А аналога rc.local (в RH) нету?
> Нету, и слава богу - либо уж sysV style, либо BSD style.
А есть ли стандартный способ сделать загрузку в дебиане BSD style?

С наилучшими пожеланиями,
  Игорь Михайлов.
--
 Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD

Re: ipchains

2000-10-10 Thread Fedor Zuev 
On Wed, 11 Oct 2000, Igor Mikhailov wrote:

IM>> > А аналога rc.local (в RH) нету?
IM>> Нету, и слава богу - либо уж sysV style, либо BSD style.
IM>А есть ли стандартный способ сделать загрузку в дебиане BSD style?

есть какой-то пакет, называется file-rc, описывается как
Alternative one-configfile boot mechanism

Не оно?

Re: ipchains

2000-10-10 Thread Victor Vislobokov 
> > > А аналога rc.local (в RH) нету?
> > Нету, и слава богу - либо уж sysV style, либо BSD style.
> А есть ли стандартный способ сделать загрузку в дебиане BSD style?

Я знаю, что есть в Debian какой-то пакет, который позволяет
делать конверт из кучи файлов System V в одиночный файл, а затем
если надо и обратный конверт.
 Извини, название пакета не помню

Виктор

Re: ipchains

2005-09-06 Thread mult1k 

Serja wrote:

Нужен ли для ядра 2.6.х пакет ipchains? Мне кажется, что нет, но думаю спрошу 
более опытных.
Просто заметил, что он у меня видимо установился по умолчанию при инсталляции 
системы. Установлен также iptables, но про этот пакет вопросов нет.

Заранее благодарен!
 

Насколько я знаю ipchains и iptables это просто внешние оболочки для 
взаимодействия с ядром. От того есть они или нет в ядре ничего не 
меняется - главное что бы само ядро поддерживало нужные сетевые функции.

Вобщем можно ipchains убрать если его не требуют какие либо программы.
---
mult1k



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: ipchains rules

2001-04-11 Thread Daniel Ginsburg 
On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
> Как правильно будет звучать заклинание для ipchains ver 1.3.9,
> запрещающее прием icmp echo-request пакетов из ненадежной части сети.
> Безрезультатно перепробовал множество комбинаций. (1002-я ночь)

Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я
ума не приложу, каким образом запрещение этих сообщений может повлиять на
функционирование Вашей системы.


-- 
dg

Re: ipchains rules

2001-04-12 Thread Alexey Vyskubov 
> Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
> Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
> сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я

Количество компьютеров, работающих в 3 часа ночи, может представлять собой
коммерческую тайну.

P.S. Я не шучу.
-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!

Re: ipchains rules

2001-04-12 Thread Pavel Epifanov 

--- Daniel Ginsburg <[EMAIL PROTECTED]> wrote:
> On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
> > ëÁË ÐÒÁ×ÉÌØÎÏ ÂÕÄÅÔ Ú×ÕÞÁÔØ ÚÁËÌÉÎÁÎÉÅ ÄÌÑ ipchains ver 1.3.9,
> > ÚÁÐÒÅÝÁÀÝÅÅ ÐÒÉÅÍ icmp echo-request ÐÁËÅÔÏ× ÉÚ ÎÅÎÁÄÅÖÎÏÊ ÞÁÓÔÉ ÓÅÔÉ.
> > âÅÚÒÅÚÕÌØÔÁÔÎÏ ÐÅÒÅÐÒÏÂÏ×ÁÌ ÍÎÏÖÅÓÔ×Ï ËÏÍÂÉÎÁÃÉÊ. (1002-Ñ ÎÏÞØ)
> 
> ðÏÚ×ÏÌØÔÅ ÐÏÉÎÔÅÒÅÓÏ×ÁÔØÓÑ, ÚÁÞÅÍ ÖÅ ÷Ù ÖÅÌÁÅÔÅ ÚÁÐÒÅÔÉÔØ echo-requests?
> åÓÌÉ ÷Ù ÓÏÏÂÝÉÔÅ ÍÎÅ ÄÏÓÔÁÔÏÞÎÏ ×ÅÓËÉÊ ÄÏ×ÏÄ × ÐÏÌØÚÕ ÚÁÐÒÅÝÅÎÉÑ ÜÔÉÈ ICMP
> ÓÏÏÂÝÅÎÉÊ, ÔÏ, ÂÅÚÕÓÌÏ×ÎÏ, Ñ ÓËÁÖÕ ÷ÁÍ, ËÁË ÜÔÏ ÓÄÅÌÁÔØ, ÎÏ, ÐÒÉÚÎÁÔØÓÑ, Ñ
> ÕÍÁ ÎÅ ÐÒÉÌÏÖÕ, ËÁËÉÍ ÏÂÒÁÚÏÍ ÚÁÐÒÅÝÅÎÉÅ ÜÔÉÈ ÓÏÏÂÝÅÎÉÊ ÍÏÖÅÔ ÐÏ×ÌÉÑÔØ ÎÁ
> ÆÕÎËÃÉÏÎÉÒÏ×ÁÎÉÅ ÷ÁÛÅÊ ÓÉÓÔÅÍÙ.

It is simple. George probably have read "ICMP scanning" document where
different techniques of ICMP scans are described. echo-request is just one of
them. The same kind of ICMP could be also used for DoS.

There is a sense to DENY such _incoming_ requests on a gateway or on a home
computer directly connected to Internet. This is a recommended practice as I am
aware of. Several websites already have it (I remember www.ibm.org).





=
Yours,
Pavel V. Epifanov.

---

__
Do You Yahoo!?
Get email at your own domain with Yahoo! Mail. 
http://personal.mail.yahoo.com/

Re: ipchains rules

2001-04-12 Thread Vlad Harchev 
On Thu, 12 Apr 2001, Alexey Vyskubov wrote:

 Hi, 

 В принципе есть патчи для 2.2.x ядер (добавляют что-то типа опции
TCP_STEALTH) которая позволяет *полностью* скрывать компьютер в сети (вроде
даже порты сканировать будет бесполезно) - ну и в частности echo-requests
подавить.
 Этот патч входит в 2.2.19 - ядро которое поставляется с AltLinux (ака
mandrake re spring 2001).

> > Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
> > Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
> > сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я
> 
> Количество компьютеров, работающих в 3 часа ночи, может представлять собой
> коммерческую тайну.
> 
> P.S. Я не шучу.
> -- 
> Alexey Vyskubov
> (at home)
> Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
> 
> 
> --  
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

 Best regards,
  -Vlad

Re: ipchains rules

2001-04-12 Thread Alexey Mahotkin 
>>>>> "AV" == Alexey Vyskubov <[EMAIL PROTECTED]> writes:

>> Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
>> Если Вы сообщите мне достаточно веский довод в пользу запрещения этих
>> ICMP сообщений, то, безусловно, я скажу Вам, как это сделать, но,
>> признаться, я

AV> Количество компьютеров, работающих в 3 часа ночи, может представлять
AV> собой коммерческую тайну.

Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
способные прочитать чуть ли не первый приходящий в голову документ про
настройку ipchains (даже чуть ли не прогрепать этот документ), должна
стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...

AV> P.S. Я не шучу.

--alexm

P.S.: Обязуюсь компенсировать это письмо повышенным содержанием контента в
трех следующих письмах.

P.P.S.: Пост-скриптумы пишутся после подписи ;)

Re: ipchains rules

2001-04-13 Thread Alexander Kotelnikov 
Alexey Mahotkin <[EMAIL PROTECTED]> writes:

> Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
> способные прочитать чуть ли не первый приходящий в голову документ про
> настройку ipchains (даже чуть ли не прогрепать этот документ), должна
> стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...

встряну в этот грязный наезд.
> 
> P.P.S.: Пост-скриптумы пишутся после подписи ;)

Postscriptum пишется без черточки, по крайней мере. А утверждение о
нем как минимум спорное.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ipchains rules

2001-04-13 Thread George Sergeyev 
>  Alexey Mahotkin  <[EMAIL PROTECTED]> wrote: 

> 
> AV> Количество компьютеров, работающих в 3 часа ночи, может представлять
> AV> собой коммерческую тайну.
> 
> Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
> способные прочитать чуть ли не первый приходящий в голову документ про
> настройку ipchains (даже чуть ли не прогрепать этот документ), должна
> стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...
> 

 
Склоняюсь пред Вашим талантом финансиста, в кои-то вЕки дана высокая оценка 
коммерческой тайны в моей домашней сети. Благодарю.
На 99% прав Pavel Epifanov.

Что сам не сразу нашел in TFM соответсвующие примеры, так это ... я извиняюсь. 
Не все люди книги, сразу с конца читают и на серьезных примерах учатся.
 
 --- 
 WBR,  George Sergeyev

Re: firewalls (was: ipchains)

2003-01-29 Thread Denis A. Kulgeyko 
> Я, честно говоря, не помню процесс перетаскивания своего
> firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для
> прозрачного прокси. В общем, было это в другом дистрибутиве, так что
> неважно. Но по крайней мере фильтрация пакетов и  получение статистики
> должны работать.

Закину свои ржавых 1/20 часть "Убитого американского Енота". :)
Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, в 
основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
Потому как писать _все_ правила ipchains/iptables руками
Нашел - называется ferm.
Перловый скрипт. Ему подается на вход файлик со своим синтаксисом, который тот 
разбирает и строит из них правила уже рабочего firewall (команды для 
ipfwadm/ipchains/iptables).
Синтаксис весьма удобный и более понятный, что ли. По крайней мере там можно 
нормально абстрагироваться в процессе написания. :) Сделать весьма 
навороченый firewall занимает просто минимум времени. И отлично подходит для 
массового использования.
Конфиг кидается в /etc, перестраиваем firewall только руками (генерим, 
проверяем, запускаем, сохраняем), а для woody используем /etc/init.d/iptables 
load/save :)
IMHO, очень удобная штука - лично мне очень облегчает жизнь. :)
В debian давно уже есть в виде пакета.
Это я так - может кому пригодится. :)

Re: firewalls (was: ipchains)

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 11:04:20 +0200, Denis A. Kulgeyko wrote:

> > Я, честно говоря, не помню процесс перетаскивания своего
> > firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для
> > прозрачного прокси. В общем, было это в другом дистрибутиве, так что
> > неважно. Но по крайней мере фильтрация пакетов и  получение статистики
> > должны работать.
> 
> Закину свои ржавых 1/20 часть "Убитого американского Енота". :)
> Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, в 
> основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
> Потому как писать _все_ правила ipchains/iptables руками

А зачем писать их все руками? 

В конце концов, это обычные юниксовые команды, вызывающиеся из
shell-овского скрипта.

Я генерирую из биллинговой базы файлик вида

block такой-то-IP
allow такoй-то-IP smtp socks
disallow такой-то-IP http

После чего этот файлик включается командой source в скрипт инициализации
файрволла. А в том определены shell-функции block, allow, disallow etc.

Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
зачем-то понадобилось перегрузить машину с 2.2 ядром.

Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
2.4 определит другие функции.


> Конфиг кидается в /etc, перестраиваем firewall только руками (генерим, 
> проверяем, запускаем, сохраняем), а для woody используем /etc/init.d/iptables 
> load/save :)

А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
последовал его совету - не использовать, а использовать что-нибудь
другое. В данном случае развил свой старый /etc/init.d/firewall

Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
инструментов вполне себе входит.
-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: firewalls (was: ipchains)

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 13:42:31 +0300, Герасимов Д.С. wrote:

> Hello Victor,
> 
> Wednesday, January 29, 2003, 12:25:52 PM, you wrote:
> 
> VW> On 2003.01.29 at 11:04:20 +0200, Denis A. Kulgeyko wrote:
> 
> >> > Я, честно говоря, не помню процесс перетаскивания своего
> >> > firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для
> >> > прозрачного прокси. В общем, было это в другом дистрибутиве, так что
> >> > неважно. Но по крайней мере фильтрация пакетов и  получение статистики
> >> > должны работать.
> >> 
> >> Закину свои ржавых 1/20 часть "Убитого американского Енота". :)
> >> Я для firewall'ов (а в свое время пришлось писать их немало, все на 
> >> линухе, в 
> >> основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
> >> Потому как писать _все_ правила ipchains/iptables руками
> 
> VW> А зачем писать их все руками? 
> 
> VW> В конце концов, это обычные юниксовые команды, вызывающиеся из
> VW> shell-овского скрипта.
> 
> VW> Я генерирую из биллинговой базы файлик вида
> 
> VW> block такой-то-IP
> VW> allow такoй-то-IP smtp socks
> VW> disallow такой-то-IP http
> 
> VW> После чего этот файлик включается командой source в скрипт инициализации
> VW> файрволла. А в том определены shell-функции block, allow, disallow etc.
> Вот с этого места, если можно поподробнее.. :-).. Виктор, можно
> взглянуть на этот скрипт? Для общего развития.


Ну вот некоторые фрагменты

ADDRULES=/etc/network/ipchains_stop
ip_block() {
  iptables -A FORWARD -s $1 -d 0/0 -j REJECT
  # Сюда надо еще добавить DNAT-правило, чтобы все запросы на 80 порт
  # любого хоста в интернет форвардились на страничку "Мужик, деньги
  # давай"
}

  case `uname -r` in
  2.2.*)
  exec /etc/init.d/firewall-ipchains
  ;;
   esac

insmod ip_conntrack
modprobe ip_nat_ftp
modprobe ip_nat_irc
#Здесь много-много фиксированных правил, общих для всей сети

# Reject addresses of local clients which haven't pay enough for internet
[ -x $ADDRULES ] && source $ADDRULES
# and let all others out
iptables -A FORWARD -s 192.168.216.0/25 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 192.168.216.128/25 -d 0/0 -j REJECT
iptables -t nat  -A POSTROUTING -o eth2 -s 192.168.216.0/24 -d 
0.0.0.0/0 -j MASQUERADE

# Здесь еще энное количество правил,

А файлик который  ADDRULES выглядит так:

#!/bin/sh
ip_block 192.168.216.84
ip_block 192.168.216.74
ip_block 192.168.216.15
ip_block 192.168.216.44
ip_block 192.168.216.70
ip_block 192.168.216.57
ip_block 192.168.216.13


В файле firewall-ipchains  функция ip_block определена как:
ip_block() {
  ipchains -A forward -s $1 -d 0/0 -j REJECT
}
  


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: firewalls (was: ipchains)

2003-01-29 Thread Denis A. Kulgeyko 
> А зачем писать их все руками?

Когда-то был написан один, а в дальнейшем все остальные писались с него 
исправлениями под конкретные нужды. ;)
Надо было очень быстро поставить firewall'ы на несколько хостов.
Там одна RH7.x была, так я посмотрел на тот default'ный шкрыпт для firewall'а 
(shell'овый), что там есть .. так жутко стало. Одноразовый он больно. Тяжело 
его перенести на другой хост, а тем более на его базе сделать сразу для 
нескольких.
А потом уже просто написал один базовый, с которого уже всегда дописываю под 
конкретные нужды.

В ferm мне синтаксис очень понравился. Очень наглядный и понятный. И писать 
проще.
Один из рабочих вариантов приложу к письму, поизучайте, кому будет интерестно, 
может и пригодится. ;)
Это прямо со своей машинки ("woody",2.4.18), у нее реальный ip. forwarding'а 
нет. Там еще мне было лень вправлять локальные порты в соответствии с 
"http://www.iana.org/assignments/port-numbers"; - работает, и так сойдет. :) 
Некогда. И не охвачены tcp с флагом "rst", но они бывают очень редко, пока 
сильно не допекало. :) До других (более навороченых) конфигов для ferm просто 
сейчас "стучаться" долго.

Эо не как самое универсальное решение (хотя по крайней мере для меня в 
большинстве случаев так), просто как вариант. :)

> > Конфиг кидается в /etc, перестраиваем firewall только руками (генерим,
> > проверяем, запускаем, сохраняем), а для woody используем
> > /etc/init.d/iptables load/save :)

Я имел в виду так: текущий firewall хранится в /var/lib/iptables/active, 
Оттуда грузится при загрузке хоста, туда сохраняется вместе со счетчиками.
ipac-ng запускается после iptables. Иначе ip-accounting на нем нормально 
работать не будет.
Если надо что-то исправить - вправляю /etc/ferm.conf, потом генерю, проверяю, 
если что-то очень критично и работаю удаленно - то на at или cron вешаю 
восстановление оригинального firewall'а минут эдак через 15, чтобы себя не 
заблокировать, если все нормально - /etc/init.d/iptables save active.

> А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
> последовал его совету - не использовать, а использовать что-нибудь
> другое.

А можно линку где он это пишет или хотя бы направление поисков ? Я только что 
попробовал - сам не нашел. А стало интерестно. Не спроста ж ведь он так :)

> В данном случае развил свой старый /etc/init.d/firewall

IMHO, в potato. Потому как там специальных скриптов для менеджмента firewall'а 
(типа /etc/init.d/iptables) не видел - потому свой писать надо.

> Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
> инструментов вполне себе входит.

Большой "минус" - медленно генерит правила. Потому как perl.
При загрузке хоста это время может оказаться критично.
И еще один - если в момент изменения firewall'а произойдет краш (мало ли .. 
питание отключат а в УПС в этот же момент "боинг" попадет), то есть риск что 
firewall будет частично недостроен из-за ошибок в конфиге (сохранили еще не 
доделаный), а последствия могут быть самые разные, от "ничего" вплоть до 
весьма неприятных.

  WBR, Burzumie.
#!/usr/bin/ferm

# variables

# interfaces
set IF_WAN eth0

# local IP-addresses and networks connected to them
set IP_WAN 

set NET_LAN 

# local port-ranges
set PORTS_LOCAL 1024:65535

set PORTS_PRIV 1:1023
set PORTS_UNPRIV 1024:65535

# global directives
option iptables
option clearall
option createchains


# TCP input/LAN
chain TCP_from_LAN proto tcp
{
# new and eslablished connections
mod state state (NEW, ESTABLISHED, RELATED) ACCEPT;
# closing TCP-connections
tcp-flags (SYN,ACK,FIN,RST) (ACK,FIN) ACCEPT;

LOG logprefix "TCP from LAN:";
REJECT;
} # TCP_from_LAN

# UDP input/LAN
chain UDP_from_LAN proto udp
{
ACCEPT;
} # UDP_from_LAN

# TCP input/WAN
chain TCP_from_WAN proto tcp
{
# ---
#dport echo LOG log-tcp-sequence logprefix "to port 7:";

# new incoming connections
dport (
	ssh
	smtp
	http
) mod state state NEW ACCEPT;

# established connections
mod state state (ESTABLISHED, RELATED) ACCEPT;
# closing TCP-connections
tcp-flags (SYN,ACK,FIN,RST) (ACK,FIN) ACCEPT;

LOG logprefix "TCP from WAN:";
DROP;
} # TCP_from_WAN

# UDP input/WAN
chain UDP_from_WAN proto udp
{
# reply from outgoing DNS
sport domain dport (domain,$PORTS_LOCAL) ACCEPT;

# ICQ
sport (4000,5190) dport $PORTS_LOCAL ACCEPT;

# traceroute
sport 32769:65535 dport 33434:33523 ACCEPT;

# NTP
sport ntp dport ($PORTS_LOCAL,ntp) ACCEPT;

LOG logprefix "UDP from WAN:";
DROP;
} # UDP_from_WAN

# TCP output/LAN
chain TCP_to_LAN proto tcp
{
# new and established connections
mod state state (NEW, ESTABLISHED, RELATED) ACCEPT;
# closing TCP-connections
tcp-flags (SYN,ACK,FIN,RST) (ACK,FIN) ACCEPT;

LOG logprefix "TCP to LAN:";
REJECT;
} # TCP_to_LAN

# UDP output/LAN
chain UDP_to_LAN proto udp
{
ACCEPT;
} # UDP_to_LAN

# TCP output/WAN
chain TCP_to_WAN proto tcp
{
# ---
#sport echo LOG log-tcp-sequence logprefix "from port 7:"

Re: firewalls (was: ipchains)

2003-01-29 Thread Vasiliy 'Druid' Misharev 
On Wed, Jan 29, 2003 at 12:25:52PM +0300, Victor Wagner wrote:

> А зачем писать их все руками? 
> 
> В конце концов, это обычные юниксовые команды, вызывающиеся из
> shell-овского скрипта.
> 
> Я генерирую из биллинговой базы файлик вида
> 
> block такой-то-IP
> allow такoй-то-IP smtp socks
> disallow такой-то-IP http
> 
> После чего этот файлик включается командой source в скрипт инициализации
> файрволла. А в том определены shell-функции block, allow, disallow etc.
> 
> Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
> зачем-то понадобилось перегрузить машину с 2.2 ядром.
> 
> Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
> 2.4 определит другие функции.

а зачем нужна биллинговая база в простых случаях? особенно на машине где
откат на 2.2 не предполагается. 

> 
> 
> > Конфиг кидается в /etc, перестраиваем firewall только руками (генерим, 
> > проверяем, запускаем, сохраняем), а для woody используем 
> > /etc/init.d/iptables 
> > load/save :)
> 
> А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
> последовал его совету - не использовать, а использовать что-нибудь
> другое. В данном случае развил свой старый /etc/init.d/firewall
> 
> Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
> инструментов вполне себе входит.


ВМЕСТЕ. /etc/init.d/iptables оперирует конфигурациями в своем формате, а
ferm транслирует эти конфигурации со своего 'ЯВУ'

-- 
A: No
Q: Should I quote below my post?

Good luck!  /AKA Druid

Re: firewalls (was: ipchains)

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 13:36:39 +0200, Denis A. Kulgeyko wrote:

> 
> > Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
> > инструментов вполне себе входит.
> 
> Большой "минус" - медленно генерит правила. Потому как perl.
> При загрузке хоста это время может оказаться критично.
> И еще один - если в момент изменения firewall'а произойдет краш (мало ли .. 
> питание отключат а в УПС в этот же момент "боинг" попадет), то есть риск что 
> firewall будет частично недостроен из-за ошибок в конфиге (сохранили еще не 
> доделаный), а последствия могут быть самые разные, от "ничего" вплоть до 
> весьма неприятных.

Вот этого - точно не произойдет. Потому что при перезагрузке после крэша
правила начнут генерироваться заново из того же (полного) ferm -овского
исходника. Именно поэтому ВМЕСТО а не ВМЕСТЕ.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: firewalls (was: ipchains)

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 15:12:35 +0300, Vasiliy 'Druid' Misharev wrote:

> On Wed, Jan 29, 2003 at 12:25:52PM +0300, Victor Wagner wrote:
> 
> > А зачем писать их все руками? 
> > 
> > В конце концов, это обычные юниксовые команды, вызывающиеся из
> > shell-овского скрипта.
> > 
> > Я генерирую из биллинговой базы файлик вида
> > 
> > block такой-то-IP
> > allow такoй-то-IP smtp socks
> > disallow такой-то-IP http
> > 
> > После чего этот файлик включается командой source в скрипт инициализации
> > файрволла. А в том определены shell-функции block, allow, disallow etc.
> > 
> > Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
> > зачем-то понадобилось перегрузить машину с 2.2 ядром.
> > 
> > Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
> > 2.4 определит другие функции.
> 
> а зачем нужна биллинговая база в простых случаях? особенно на машине где
> откат на 2.2 не предполагается. 

А я говорил, что у меня случай простой?

В простом случае достаточно руками прописать пару десятков команд в
шелловский скрипт.



-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: firewalls (was: ipchains)

2003-01-29 Thread Ilya Palagin 

Victor Wagner wrote:
...


А я говорил, что у меня случай простой?

В простом случае достаточно руками прописать пару десятков команд в
шелловский скрипт.
 

(это я возвращаясь к вопросу, заданному в начале треда)
А если  случай совсем непростой и правил сгенерировано больше
сотни (например, при наличии групп адресов с разным уровнем доступа), 
есть ли

способ проверить ядро на прохождение tcp пакета с адреса A порт B
через интерфейс eth0 на адрес C порт D через интерфейс eth1?  В ipchains 
есть check,

в iptables его нет.

Re: firewalls (was: ipchains)

2003-03-27 Thread Nickolay Kondrashov 

Denis A. Kulgeyko wrote:

А зачем писать их все руками?



Когда-то был написан один, а в дальнейшем все остальные писались с него 
исправлениями под конкретные нужды. ;)

Надо было очень быстро поставить firewall'ы на несколько хостов.
Там одна RH7.x была, так я посмотрел на тот default'ный шкрыпт для firewall'а 
(shell'овый), что там есть .. так жутко стало. Одноразовый он больно. Тяжело 
его перенести на другой хост, а тем более на его базе сделать сразу для 
нескольких.
А потом уже просто написал один базовый, с которого уже всегда дописываю под 
конкретные нужды.


В ferm мне синтаксис очень понравился. Очень наглядный и понятный. И писать 
проще.
Один из рабочих вариантов приложу к письму, поизучайте, кому будет интерестно, 
может и пригодится. ;)
Это прямо со своей машинки ("woody",2.4.18), у нее реальный ip. forwarding'а 
нет. Там еще мне было лень вправлять локальные порты в соответствии с 
"http://www.iana.org/assignments/port-numbers"; - работает, и так сойдет. :) 
Некогда. И не охвачены tcp с флагом "rst", но они бывают очень редко, пока 
сильно не допекало. :) До других (более навороченых) конфигов для ferm просто 
сейчас "стучаться" долго.


Эо не как самое универсальное решение (хотя по крайней мере для меня в 
большинстве случаев так), просто как вариант. :)




Конфиг кидается в /etc, перестраиваем firewall только руками (генерим,
проверяем, запускаем, сохраняем), а для woody используем
/etc/init.d/iptables load/save :)




Я имел в виду так: текущий firewall хранится в /var/lib/iptables/active, 
Оттуда грузится при загрузке хоста, туда сохраняется вместе со счетчиками.
ipac-ng запускается после iptables. Иначе ip-accounting на нем нормально 
работать не будет.
Если надо что-то исправить - вправляю /etc/ferm.conf, потом генерю, проверяю, 
если что-то очень критично и работаю удаленно - то на at или cron вешаю 
восстановление оригинального firewall'а минут эдак через 15, чтобы себя не 
заблокировать, если все нормально - /etc/init.d/iptables save active.




А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
последовал его совету - не использовать, а использовать что-нибудь
другое.



А можно линку где он это пишет или хотя бы направление поисков ? Я только что 
попробовал - сам не нашел. А стало интерестно. Не спроста ж ведь он так :)




В данном случае развил свой старый /etc/init.d/firewall



IMHO, в potato. Потому как там специальных скриптов для менеджмента firewall'а 
(типа /etc/init.d/iptables) не видел - потому свой писать надо.




Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
инструментов вполне себе входит.



Большой "минус" - медленно генерит правила. Потому как perl.
При загрузке хоста это время может оказаться критично.
И еще один - если в момент изменения firewall'а произойдет краш (мало ли .. 
питание отключат а в УПС в этот же момент "боинг" попадет), то есть риск что 
firewall будет частично недостроен из-за ошибок в конфиге (сохранили еще не 
доделаный), а последствия могут быть самые разные, от "ничего" вплоть до 
весьма неприятных.


  WBR, Burzumie.




Здравствуйте

Вопрос:
Для чего у вас в цепочке INPUT таблицы filter правило "interface $IF_WAN 
daddr ! $NET_LAN {LOG "..."; DROP;}"? Ведь оно никогда не срабатывает, 
или я чего то не понимаю?


Заранее спасибо.

--


  С уважением,
  Кондрашов Николай,
  ИТ-менеджер
  ЗАО "Автоматика-Север"
  +7(812) 1183238, 3039648
  http://www.avt.com.ru/
  mailto:[EMAIL PROTECTED]

подсчет траффика через ipchains

2002-05-16 Thread Dmitry Ponyatov 
Здравствуйте

Что порекомендуете использовать для подсчета трафика через ipchains -
необходимо сохранить корректную работу настроенного firewall с парой десятков
правил

Имеет ли смысл делать свой счетчик и где можно почитать о принципах работы
подобной программы ? - какие правила добавлять в ipchains, и примеры скриптов
для анализа трафика

-
С уважением, Понятов Дмитрий, e-mail: [EMAIL PROTECTED]

Лаборатория аэрокосмического приборостроения
Самарский Государственный Аэрокосмический Университет
443086 Россия, Самара, Московское шоссе 34, каб. 522А
e-mail: [EMAIL PROTECTED]   tel: (8462) 35-7017


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

ipchains questions ... очень горит !!!

2002-08-30 Thread devi 

  Hi, debian-russian ...

  1) не объяснят ли "старшие" братья "необходимость"
 соответсвия 2.2.x - ipchains
 2.4.x - iptables

  2) буду благодарен за "поправки" - пакет проходит через цепочки в
 таком порядке input (src: 192.168.0.0/24) -> forward -> output

 итого в качестве проверки (в output\input) "прописан" www

 ipchains -P input DENY
 ipchains -P output REJECT
 ipchains -P forward REJECT

 ipchains -A output -i $EXTERN_ETH -s $EXTERN_IP 1024:65535 -d any/0 80 -j 
ACCEPT
 ipchains -A input -i $EXTERN_ETH -s any/0 80 -d $EXTERN_IP 1024:65535-j 
ACCEPT

 ipchains -A forward -i $LOCAL_ETH -s 192.168.0.0/24 -d any/0 -j MASQ

 по моим соображениям пакеты из 192.168.0.0/24 режутся на input ...
 что в таком случае прописать, чтобы это не происходило ?

 plz, укажети на ошибки в данной "сборке" ...
 
-- 
  // --cook: No, no! Windows isn't a virus! Viruses usually do something!

Re: ipchains (file-rc)

2000-10-11 Thread Andrey Chernomyrdin 
On 11-Oct-2000, Wed, 08:57:10, Fedor Zuev <[EMAIL PROTECTED]> wrote:
> On Wed, 11 Oct 2000, Igor Mikhailov wrote:
> 
> IM>> > А аналога rc.local (в RH) нету?
> IM>> Нету, и слава богу - либо уж sysV style, либо BSD style.
> IM>А есть ли стандартный способ сделать загрузку в дебиане BSD style?
> 
>   есть какой-то пакет, называется file-rc, описывается как
> Alternative one-configfile boot mechanism
> 
>   Не оно?
File-rc не совсем оно, так как это все тот-же /etc/init.d/ только вместо
директоий с симлинками /etc/rc... один файл /etc/runlevel.conf в котором
написанно какой скрипт при каком уровне запускать...

-- 
With Best,  | http://www.excom.spb.su/~andrey
 Andrey Chernomyrdin| mailto:[EMAIL PROTECTED]

Re: ipchains init script × äÅÂÉÁÎÅ

2001-04-19 Thread Pavel Andreew 
Hello, Igor!

Igor Goldenberg wrote:
> 
> Где можно прописать статические роутинги, а также настройки ipchains?
> Что-то таких мест при беглом изучении я не нашёл, пришлось писать
> скипты самому, и файлы с конфигами ложить в /etc/network/

   В текущем unstable пакет ipchains (1.3.10-8) проработан на предмет
сохранения/ восстановления настроек. Запоминает он это в
/etc/default/ipchains. А в /etc/init.d/ipchains добавлены параметры
save|load.
   Для potato его можно легко пересобрать из исходников (там из зависимостей
- только libc6 и debconf).

-- 
Pavel Andreew
Ekaterinburg Telegraph

Re[2]: firewalls (was: ipchains)

2003-01-29 Thread Герасимов Д . С . 
Hello Victor,

Wednesday, January 29, 2003, 12:25:52 PM, you wrote:

VW> On 2003.01.29 at 11:04:20 +0200, Denis A. Kulgeyko wrote:

>> > Я, честно говоря, не помню процесс перетаскивания своего
>> > firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для
>> > прозрачного прокси. В общем, было это в другом дистрибутиве, так что
>> > неважно. Но по крайней мере фильтрация пакетов и  получение статистики
>> > должны работать.
>> 
>> Закину свои ржавых 1/20 часть "Убитого американского Енота". :)
>> Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, 
>> в 
>> основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
>> Потому как писать _все_ правила ipchains/iptables руками

VW> А зачем писать их все руками? 

VW> В конце концов, это обычные юниксовые команды, вызывающиеся из
VW> shell-овского скрипта.

VW> Я генерирую из биллинговой базы файлик вида

VW> block такой-то-IP
VW> allow такoй-то-IP smtp socks
VW> disallow такой-то-IP http

VW> После чего этот файлик включается командой source в скрипт инициализации
VW> файрволла. А в том определены shell-функции block, allow, disallow etc.
Вот с этого места, если можно поподробнее.. :-).. Виктор, можно
взглянуть на этот скрипт? Для общего развития.



-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

ipchains, в догонку к iptables

2003-03-14 Thread Dmitry Korotkov 



А каким образом организовать следующее 
перенаправление на 2.2.x ? (ipchains)
 
нужно все пакеты из сети 192.168.0.0/24 идущие 
наружу на порт 80 (используется маскарад)
перенаправлять на машину с кэш-сервером на 
определенный IP с портом 3128
 
какие могут быть варианты ?
похоже, что ipmasqadmin тут не 
прокатывает...
 
iproute2 ?

k2.4: ipchains/iptables -Z -L

2003-07-20 Thread Orehov Pasha 

Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать этот 
процесс куда писать?

что еще сломали в ipchains ...

2003-07-29 Thread Orehov Pasha 

Sergey V. Spiridonov wrote:

Sergey V. Spiridonov wrote:


Orehov Pasha wrote:


Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
там не только атомарность чтения-очистки сломали, просто атомарность 
чтения не соблюдается. Что хорошо видно в случае

Правило х
Правила ~ 10k штук
Правило х

:)

Re: подсчет траффика через ipchains

2002-05-16 Thread Vladimir N.Velychko 
On Thu, 16 May 2002, Dmitry Ponyatov wrote:

> Что порекомендуете использовать для подсчета трафика через ipchains -
> необходимо сохранить корректную работу настроенного firewall с парой десятков
> правил
Посмотрите на пекет ipac/ipac-ng.

-- 
ICQ UIN# 3159256
VEL-RIPE



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: ipchains, в догонку к iptables

2003-03-15 Thread Andrey Nekrasov 
Hello Dmitry Korotkov,

С iptables идет NAT-Howto, в котором есть вот такой пример:

 # Linux 2.2
 # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 80
 ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80

Похоже то что нужно?

Чуть дальше там пример, как сделать то-же самое с помошью iptables.



Once you wrote about "ipchains, в догонку к iptables":
> А каким образом организовать следующее перенаправление на 2.2.x ? (ipchains)
> 
> нужно все пакеты из сети 192.168.0.0/24 идущие наружу на порт 80 
> (используется маскарад)
> перенаправлять на машину с кэш-сервером на определенный IP с портом 3128
> 
> какие могут быть варианты ?
> похоже, что ipmasqadmin тут не прокатывает...
> 
> iproute2 ?

-- 
Any statement is incorrect.

Re: ipchains, в догонку к iptables

2003-03-15 Thread Alexander Kotelnikov 
>>>>> On Sat, 15 Mar 2003 17:21:47 +0300
>>>>> "AN" == Andrey Nekrasov <[EMAIL PROTECTED]> wrote:
AN> 
AN> Hello Dmitry Korotkov,
AN> С iptables идет NAT-Howto, в котором есть вот такой пример:
AN> 
AN>  # Linux 2.2
AN>  # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 
80
AN>  ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
AN> 
AN> Похоже то что нужно?

Думается мне, что товарищу хотелось сделать transparent proxy.

AN> Чуть дальше там пример, как сделать то-же самое с помошью iptables.
AN> 
AN> Once you wrote about "ipchains, в догонку к iptables":
>> А каким образом организовать следующее перенаправление на 2.2.x ? (ipchains)
>> 
>> нужно все пакеты из сети 192.168.0.0/24 идущие наружу на порт 80 
>> (используется маскарад)
>> перенаправлять на машину с кэш-сервером на определенный IP с портом 3128
>> 
>> какие могут быть варианты ?
>> похоже, что ipmasqadmin тут не прокатывает...
>> 
>> iproute2 ?

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ipchains, в догонку к iptables

2003-03-16 Thread Andrey Nekrasov 
Hello Alexander Kotelnikov,

> AN> Hello Dmitry Korotkov,
> AN> С iptables идет NAT-Howto, в котором есть вот такой пример:
> AN> 
> AN>  # Linux 2.2
> AN>  # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's 
> port 80
> AN>  ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
> AN> 
> AN> Похоже то что нужно?
> 
> Думается мне, что товарищу хотелось сделать transparent proxy.

 Я это понял. Ведь ничего не мешает представить перед этим правило
 ipchains, кидающее все проходящие пакеты на локальный адрес.

 И если прокси стоит не на этой-же машине, то отправлять пакетики туда или с
 помощью выше написанного правила или например xinetd.


-- 
Any statement is incorrect.

Re: ipchains, в догонку к iptables

2003-03-17 Thread Oleg P. Philon 
Привет, коллеги.

On Fri, Mar 14, 2003 at 09:33:39PM +0200, Dmitry Korotkov wrote:
>A kakim obrazom organizovat' sleduyuschee perenapravlenie na 2.2.x ?
>    (ipchains)
>nuzhno vse pakety iz seti 192.168.0.0/24 iduschie naruzhu na port 80
>(ispol'zuetsya maskarad)
>perenapravlyat' na mashinu s k`esh-serverom na opredelennyj IP s portom
>3128
>kakie mogut byt' varianty ?
>pohozhe, chto ipmasqadmin tut ne prokatyvaet...
>iproute2 ?

Саша Котельников сказал ключевое слово "transparent proxy".
А на эту тему есть одноименный mini-HOWTO.

Делается предельно просто - 4 опции в squid.conf:

╥  httpd_accel_host virtual
╥  httpd_accel_port 80
╥  httpd_accel_with_proxy on
╥  httpd_accel_uses_host_header on

и одно правило в iptables:

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Будь осторожен - перенаправляй только для внутреннего интерфейса.
А то я сделал сначала для всех, так Apache перестал работать.

Auf Wiederlesenophil aka Д-р Антикоммуний
--
Oleg P. Philon  http://gomelug.agava.ru/articles
Linux Lab, Gomel, Belarus   mailto:[EMAIL PROTECTED]
http://anticommunist.narod.ru   mailto:[EMAIL PROTECTED]

Re: ipchains, в догонку к iptables

2003-03-17 Thread Andrey Nekrasov 
Hello Oleg P. Philon,

> и одно правило в iptables:
> 
> -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

> Будь осторожен - перенаправляй только для внутреннего интерфейса.
> А то я сделал сначала для всех, так Apache перестал работать.

 фишка его вопроса была именно в том, как средствами _ipchains/linux2.2_ 
перенаправить
 на _другую_ машины.

-- 
Any statement is incorrect.

Re: k2.4: ipchains/iptables -Z -L

2003-07-22 Thread Sergey V. Spiridonov 

Orehov Pasha wrote:

Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать этот 
процесс куда писать?


По результатам моих последних экспериментов, в 2.4.21 ещё и nfs сломали :(.
--
Best regards, Sergey Spiridonov

Re: k2.4: ipchains/iptables -Z -L

2003-07-24 Thread Sergey V. Spiridonov 

Sergey V. Spiridonov wrote:

Orehov Pasha wrote:


Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать 
этот процесс куда писать?



По результатам моих последних экспериментов, в 2.4.21 ещё и nfs сломали :(.


Не, это не в ядре сломали, это nfs-kernel-server сломали


--
Best regards, Sergey Spiridonov

Re: k2.4: ipchains/iptables -Z -L

2003-07-25 Thread Alex Riesen 
Orehov Pasha, Mon, Jul 21, 2003 06:28:07 +0200:
> Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
> А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
> кстати, ipchains там никто не собирается чинить? Чтобы инициировать этот 
> процесс куда писать?

На [EMAIL PROTECTED], Cc: linux-kernel@vger.kernel.org

На английском, зато напрямую.

Архивы:
http://marc.theaimsgroup.com/?l=linux-netdev&r=1&w=2
http://marc.theaimsgroup.com/?l=linux-kernel&r=1&w=2

Re: ipchains questions ... оче нь горит !!!

2002-08-30 Thread Elena Egorova 
Здравствуйте,

On Fri, Aug 30, 2002 at 11:09:43AM +0400, devi wrote:
>
>   1) не объяснят ли "старшие" братья "необходимость"
>  соответсвия 2.2.x - ipchains
>  2.4.x - iptables

в 2.4.x есть в том числе и ipchains, то надо ядро скомпилировать с именно
его поддержкой.
>
>   2) буду благодарен за "поправки" - пакет проходит через цепочки в
>  таком порядке input (src: 192.168.0.0/24) -> forward -> output
>
>  итого в качестве проверки (в output\input) "прописан" www
>
>  ipchains -P input DENY
>  ipchains -P output REJECT
>  ipchains -P forward REJECT
>
>  ipchains -A output -i $EXTERN_ETH -s $EXTERN_IP 1024:65535 -d any/0 80 
> -j ACCEPT
>  ipchains -A input -i $EXTERN_ETH -s any/0 80 -d $EXTERN_IP 1024:65535-j 
> ACCEPT
>
>  ipchains -A forward -i $LOCAL_ETH -s 192.168.0.0/24 -d any/0 -j MASQ
>
>  по моим соображениям пакеты из 192.168.0.0/24 режутся на input ...
>  что в таком случае прописать, чтобы это не происходило ?
>
>  plz, укажети на ошибки в данной "сборке" ...

А как пакеты попадут на $EXTERN_ETH, если на $LOCAL_ETH не указано никаких
правил и будет использоваться по умолчанию - DENY.
То есть надо написать  еще
ipchains -A input -i $LOCAL_ETH -p tcp 192.168.0.0/24 -d any/0 --dport 80 -j 
ACCEPT
ipchains -A output -i $LOCAL_ETH -p tcp -d 192.168.0.0/24 -s any/0 --sport 80 
-j ACCEPT
И в самом конце дописать для отладки
ipchains -A input  -j DENY -l
ipchains -A output -j DENY -l


--
Elena Egorova

Re: ipchains questions ... оче нь горит !!!

2002-08-30 Thread Victor Wagner 
On 2002.08.30 at 11:09:43 +0400, devi wrote:

> 
>   Hi, debian-russian ...
> 
>   1) не объяснят ли "старшие" братья "необходимость"
>  соответсвия 2.2.x - ipchains
>  2.4.x - iptables

Необходимости - нет. Можно в ядро 2.4.х скомпилить с ipchains.
Но есть польза. Рекомендую почитать документацию по iptables.
После этого пользоваться ipchains уже не захочется.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

ëÁË ÐÒÁ×ÉÌØÎÏ ÚÁÄÁÍÐÉÔØ ÔÅËÕÝÅÅ ÓÏÓÔÏÑÎÉÅ ipchains

2001-03-19 Thread news-gw 
Привет всем!
Ситуация простая: случайно снес скрипт, с настройками ipchains.
Они остались в ядре и видны по ipchains -L.
Вопрос такой: как их правильно задампить, что-бы потом меньше ручками
возиться?

Андрей

[Fwd: Re: ipchains questions ... очень г орит !!!]

2002-08-30 Thread Tumyp S. Sattaroff 

сорри ...

 Original Message 
Subject: Re: ipchains questions ... очень горит !!!
Date: Fri, 30 Aug 2002 12:45:24 +0500
From: "Tumyp S. Sattaroff" <[EMAIL PROTECTED]>
To: Elena Egorova <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> 
<[EMAIL PROTECTED]>


Elena Egorova wrote:

> А как пакеты попадут на $EXTERN_ETH, если на $LOCAL_ETH не указано 
никаких

> правил и будет использоваться по умолчанию - DENY.
> То есть надо написать  еще
> ipchains -A input -i $LOCAL_ETH -p tcp 192.168.0.0/24 -d any/0 
--dport 80 -j ACCEPT
> ipchains -A output -i $LOCAL_ETH -p tcp -d 192.168.0.0/24 -s any/0 
--sport 80 -j ACCEPT

> И в самом конце дописать для отладки
> ipchains -A input  -j DENY -l
> ipchains -A output -j DENY -l
>
И еще бы я добавил


ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT

и еще
ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT

то бишь разрешить работать loopback устройству (кто нас изнутри то будет
ломать ? :)
и разрешить ICMP

>
> --
> Elena Egorova
>
>



--
 Bye
Tim&HisTeam


--
Bye
Tim&HisTeam

Re: [Fwd: Re: ipchains questions ... очень го рит !!!]

2002-08-30 Thread devi 
  Hi, Tumyp,

Friday, August 30, 2002, 11:48:22 AM, you wrote:

TSS> И еще бы я добавил

TSS> ipchains -A input -i lo -j ACCEPT
TSS> ipchains -A output -i lo -j ACCEPT

TSS> и еще
TSS> ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT

TSS> то бишь разрешить работать loopback устройству (кто нас изнутри то будет
TSS> ломать ? :)
TSS> и разрешить ICMP

 разрешены icmp - ping(0,8),
  destination unreachable(3),
  source quench(4),
  time exceeded(11),
  parameter problem(12).
  
 просто неохота все было "набивать".
 кстати,loopback тоже "открыт" ...

-- 
  // --cook: Hаши баги мы для совместимости сохраним в следующих версиях

ipchains init script в Дебиане

2001-04-19 Thread Igor Goldenberg 
Привет!

Где можно прописать статические роутинги, а также настройки ipchains?
Что-то таких мест при беглом изучении я не нашёл, пришлось писать
скипты самому, и файлы с конфигами ложить в /etc/network/

И ещё, что-то типа rc.local где-то есть?

Что, и правда нет этого в идеологии дебиановских init скриптов, или я
плохо искал?

--
 С уважением,
 Игорь.

Re: ipchains init script в Дебиане

2001-04-19 Thread Andrey Ivashchenko 
On Thu, Apr 19, 2001 at 04:02:00PM +0600, Igor Goldenberg wrote:
> Привет!
> 
> Где можно прописать статические роутинги, а также настройки ipchains?
> Что-то таких мест при беглом изучении я не нашёл, пришлось писать
> скипты самому, и файлы с конфигами ложить в /etc/network/
> 
> И ещё, что-то типа rc.local где-то есть?

Для сетевых настроек: /etc/init.d/network

-- 
  Andrey Ivaschenko
  nic-hdl:   AI1569

Re: ipchains init script в Дебиане

2001-04-19 Thread Igor Goldenberg 
Привет!

On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:

> > И ещё, что-то типа rc.local где-то есть?

> Для сетевых настроек: /etc/init.d/network

Опять таки самому создавать?

master:/var/ftp/debian/dists# zgrep etc/init.d/network Contents-i386.gz
etc/init.d/networking   base/netbase
master:/var/ftp/debian/dists#

--
 С уважением,
 Игорь.

Re: ipchains init script в Дебиане

2001-04-19 Thread Andrey Ivashchenko 
On Thu, Apr 19, 2001 at 06:15:02PM +0600, Igor Goldenberg wrote:
> Привет!
> 
> On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:
> 
> > > И ещё, что-то типа rc.local где-то есть?
> 
> > Для сетевых настроек: /etc/init.d/network
> 
> Опять таки самому создавать?
> 
> master:/var/ftp/debian/dists# zgrep etc/init.d/network Contents-i386.gz
> etc/init.d/networking   base/netbase
> master:/var/ftp/debian/dists#

8-) Действительно прикол :) У меня это файло досталось в наследство
от предыдущей версии Дебиан. А сейчас его нету... Ну заведи его
себе, если хошь :) Он раньше пустой был совершенно - там интерфейсы
поднимались и рулесы для firewall:
bee:~# ls -l /etc/rcS.d/S40network
lrwxrwxrwx1 root root   17 Июл 31  1999
/etc/rcS.d/S40network -> ../init.d/network
bee:~# ls -l /etc/init.d/network
-rwxr-xr-x1 root root 1461 Мар 30 11:15
/etc/init.d/network
> 
> --
>  С уважением,
>  Игорь.

-- 
  Andrey Ivaschenko
  nic-hdl:   AI1569

Вопрос по ipchains для версий 2.4

2002-08-05 Thread Îëåã Ìèêèòåíêî 
Добрый день!

   На вашем сайте написано, что ipchains существует только для версий
   2.2.X . При попытке запустить под ядром 2.4.18 ipchains говорит о
   несовместимости с ядром. Как это можно поправить?

-- 
С уважением,
Олег Микитенко[EMAIL PROTECTED]

Re: Вопрос по ipchains для версий 2.4

2002-08-05 Thread Vladimir N . Velychko 
On Mon, 5 Aug 2002 17:31:19 +0400
"нКЕЦ лХЙХРЕМЙН" <[EMAIL PROTECTED]> wrote:

>2.2.X . При попытке запустить под ядром 2.4.18 ipchains говорит о
>несовместимости с ядром. Как это можно поправить?
Поддержка ipchains в ядре включена? Соотв. модуль загружен,
если собрано в модуле?
-- 
 jabber: [EMAIL PROTECTED]
 VEL-RIPE

Re: Как правильно задампить текущее состоян ие ipchains

2001-03-19 Thread Nikolay Ilduganov 
ipchains-save > /etc/ipchains
ну и конечно
ipchains-restore < /etc/ipchains

On Mon, 19 Mar 2001, news-gw wrote:

> Привет всем!
> Ситуация простая: случайно снес скрипт, с настройками ipchains.
> Они остались в ядре и видны по ipchains -L.
> Вопрос такой: как их правильно задампить, что-бы потом меньше ручками
> возиться?
> 
> Андрей
> 
> 
> --  
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 
> 

Николай <[EMAIL PROTECTED]>

Re: Как правильно задампить текущее состоян ие ipchains

2001-03-19 Thread Sattaroff Tumyp 
On Mon, 19 Mar 2001, news-gw wrote:

> Привет всем!
> Ситуация простая: случайно снес скрипт, с настройками ipchains.
> Они остались в ядре и видны по ipchains -L.
> Вопрос такой: как их правильно задампить, что-бы потом меньше ручками
> возиться?
ipchains-save > file_with_dump
потом
ipchains-restore < file_with_dump
причем если это делать когда правила не пусты --
они добавятся к уже существующим
не заменяя их

>
> Андрей
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>
>

-- 
Bye
Tim&HisTeam