Re: firewall+ router+ bramka vpn
Maciej Kóska napisał(a): Na poczatku przepraszam ...od razu powinienem był zrobic to nowym watkiem... Rozkminiam juz ten mój problem od jakiegos czasu i poddałem sie i już tu chyba przy nim osiwieje...bo nie raz juz to zestawiałem i działało ok... a teraz nie wiem gdzie lezy blad. Chodzi mi o to że po zestawieniu VPN-a z moim routerem (router, firewall, bramka vpn na 1 kompie, na debianie) moge pingnac z komputera zdalnego (klienta vpn) tylko interfejs lokalny routera ale nic poza nim...nie wiem czemu, ponizej konfig openvpn-a i sam firewall...jesli ktos cos zauwazy to bardzo prosze o opinie Dzieki raz jeszcze :) za dzielenie sie wiedze, cierpliowsc i swieze spojrzenie Pozdrawiam Maciej FIREWALL CONFIG iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP pewnie powyższy blokuje :) sprubój dać mu ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward echo !WLACZANIE FIREWALLA! i forwardy możesz wtedy wywalić # # FORWARD wszystkich pakietów z sieci wewnętrznej (eth0) do internetu (ppp0) # iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT ten też # FORWARD wszystkich pakietów z internetu (ppp0) do sieci wewnetrznej (eth0) które sa czescia istniejacych i nawiazanych polaczen # iptables -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie do samego firewall wszystkich pakietow które sa czescia istniejacych lub nawiazanych polacz # iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie wszystkich polaczeń z interfejsow lokalnych # iptables -A INPUT -i eth0 -j ACCEPT #Tą część zmieniłbym na iptables -A INPUT -i ! ppp0 -j ACCEPT a tej już nie trzeba iptables -A INPUT -i lo -j ACCEPT # # Wlaczenie udostepniania polaczenie internetowego dla komputerow w sieci lokalnej # iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQUERADE # # Wlaczenie zdalnej administracji routerem # #iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 192.168.1.4 --dport 22 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT # # Wlaczenie servera FTP # #iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -d 192.168.1.10 --dport 21 -j ACCEPT # Wlaczenie odpowiedzi na ping z internetu # iptables -A INPUT -i ppp0 -p icmp --icmp-type 8 -j ACCEPT # # Wlaczenie VPN-a # iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT -OPENVPN BRAMA CONFIG # plik konfiguracyjny serwera (bramy VPN) port 1194 proto udp dev tun ;user nobody ;group nobody comp-lzo ; ping 15 ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key #tls-server dh /etc/openvpn/certs/dh1024.pem # certyfikat wystawcy (CA) ca /etc/openvpn/certs/cacert.pem # certyfikat bramy cert /etc/openvpn/certs/gwcert.pem # klucz prywatny bramy key /etc/openvpn/certs/gwkey.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push route 192.168.1.0 255.255.255.0 keepalive 10 120 persist-key persist-tun #crl-verify /etc/openvpn/certs/crl.pem verb 5 log openvpn.log Pozadrawiam Korze -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall+ router+ bramka vpn
Maciej Kóska napisał(a): Na poczatku przepraszam ...od razu powinienem był zrobic to nowym watkiem... Rozkminiam juz ten mój problem od jakiegos czasu i poddałem sie i już tu chyba przy nim osiwieje...bo nie raz juz to zestawiałem i działało ok... a teraz nie wiem gdzie lezy blad. Chodzi mi o to że po zestawieniu VPN-a z moim routerem (router, firewall, bramka vpn na 1 kompie, na debianie) moge pingnac z komputera zdalnego (klienta vpn) tylko interfejs lokalny routera ale nic poza nim...nie wiem czemu, ponizej konfig openvpn-a i sam firewall...jesli ktos cos zauwazy to bardzo prosze o opinie Dzieki raz jeszcze :) za dzielenie sie wiedze, cierpliowsc i swieze spojrzenie Pozdrawiam Maciej FIREWALL CONFIG iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP pewnie powyższy blokuje :) sprubój dać mu ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward echo !WLACZANIE FIREWALLA! i forwardy możesz wtedy wywalić # # FORWARD wszystkich pakietów z sieci wewnętrznej (eth0) do internetu (ppp0) # iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT ten też # FORWARD wszystkich pakietów z internetu (ppp0) do sieci wewnetrznej (eth0) które sa czescia istniejacych i nawiazanych polaczen # iptables -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie do samego firewall wszystkich pakietow które sa czescia istniejacych lub nawiazanych polacz # iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie wszystkich polaczeń z interfejsow lokalnych # iptables -A INPUT -i eth0 -j ACCEPT #Tą część zmieniłbym na iptables -A INPUT -i ! ppp0 -j ACCEPT a tej już nie trzeba iptables -A INPUT -i lo -j ACCEPT # # Wlaczenie udostepniania polaczenie internetowego dla komputerow w sieci lokalnej # iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQUERADE # # Wlaczenie zdalnej administracji routerem # #iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 192.168.1.4 --dport 22 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT # # Wlaczenie servera FTP # #iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -d 192.168.1.10 --dport 21 -j ACCEPT # Wlaczenie odpowiedzi na ping z internetu # iptables -A INPUT -i ppp0 -p icmp --icmp-type 8 -j ACCEPT # # Wlaczenie VPN-a # iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT -OPENVPN BRAMA CONFIG # plik konfiguracyjny serwera (bramy VPN) port 1194 proto udp dev tun ;user nobody ;group nobody comp-lzo ; ping 15 ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key #tls-server dh /etc/openvpn/certs/dh1024.pem # certyfikat wystawcy (CA) ca /etc/openvpn/certs/cacert.pem # certyfikat bramy cert /etc/openvpn/certs/gwcert.pem # klucz prywatny bramy key /etc/openvpn/certs/gwkey.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push route 192.168.1.0 255.255.255.0 keepalive 10 120 persist-key persist-tun #crl-verify /etc/openvpn/certs/crl.pem verb 5 log openvpn.log Pozadrawiam Korze Hej, Dzieki za radę :) - testowałem ale niestety dalej nic...sam już nie wiem w czym jest problemjedyna różnica w tej konfiguracji, od innych które mi działały to, to, że w klient vpn łączy się z bramką vpn (mój router) po nazwie zarejestrowanej w dyndns.org ...nie mam statycznego publiczengo ip, ale to chyba nie powinno mieć znaczenia Zastanawiam się czy problem nie leży jeszcze gdzieś indziej Pozdrawiam Maciej -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall
On Fri, May 05, 2006 at 03:05:22PM +0200, Wojciech Ziniewicz wrote: jesli cos pojdzie nie tak , reguły wrócą do normy, jesli wszystko pojdzie OK - nacisniesz ctrl+c jak zacznie sleep'owac. Sprytne - podoba mi się :) Pozdrawiam, Adam -- Adam Byrtek / Alpha ,,Każdy ideał w ciele jest trywialny'' -- prawdy algebraiczne -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall
06-05-05, stentor [EMAIL PROTECTED] napisał(a): Witam! napisalem skrypt firewall ustanawiajacy zapore sieciowa z wykorzystaniem iptables+SNAT chcialbym go jakos sprawdzic bez implementowania go jeszcze na serwerze sieciowym bo jak cos nie wypali to nie chce znowu na drugi koniec miasta jechac i odkrecac wszystkiego :| napisz skrypt odpalający reguły iptables: 1. odpalenie iptables 2. sleep 60 3. flush iptables jesli cos pojdzie nie tak , reguły wrócą do normy, jesli wszystko pojdzie OK - nacisniesz ctrl+c jak zacznie sleep'owac. -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Powered by google.com | [wanna gmail?] http://silenceproject.org | :E
Re: Firewall i Logi na konsolach
06-01-24, Tomasz Jakub Skrynnyk [EMAIL PROTECTED] napisał(a): Doraźnie: setterm -msg off Faktyczne działa :-) (ten temat wraca co jakiś czas, jak upiorny śmiech ;)) :-) Do automatycznego odpalania był kiedyś stary, dobry: /etc/ppp/ppp_on_boot, ale już jest deprecated (i słusznie). Użyj standardowej metody podnoszenia interfejsów. Połączenie uruchamiam tak: pppd file internet czyli jak by to miało wyglądać u mnie :) Aby odpalić skrypt po nawiązaniu połączenia przez ppp, umieść go (lub odwołanie do niego) w /etc/ppp/ip-up.d dzięki, zrobiłem dowiązanie i firewall startuje I polecam gorąco `man pppd`. Heee, częściowo czytałem, ale tyle tych manuali w linuxie, że ciężko wszystkie przerobić :) Jeśli chcesz tylko wysłać coś na inną konsole, nie musisz niczego zmieniać w /etc/inittab. Nie twórz niepotrzebnych procesów. :) hmmm, jest trochę zbędnych procesów... chyba znów pozmieniam initab :)
Re: Firewall i Logi na konsolach
Jarek Buczyński napisał(a): Witam Podczas normalnej pracy na konsoli, ciągle miałem problem z logami (np. z firewall'a), ponieważ pojawiały mi się na wszystkich konsolach Zrobiłem więc tak: Uruchomiłem dodatkowe konsole poprzez edycję /etc/inittab, oraz skierowałem wszystkie logi do /dev/tty12 (dodatkowy wpis *.* /dev/tty12 w /etc/syslog.conf). Zmieniłem też /etc/init.d/klog.d w taki sposób ze klogd startuje jako klogd -c 4. Wszystko działa. Chciałem zapytać czy dobrze to zrobiłem (działa to chyba tak :-) ), czy powinno się to zrobić inaczej Pozdrawiam jesli chciałeś po prostu pozbyć się tych logów to wystarczyło zmienić gadatliwość klogda. jeśli chciałeś przekierować logi na inny terminal to włąśnie to zrobiłeś i chyba działa :) a jeśli działa to jest git . -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org/[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Firewall i Logi na konsolach
06-01-24, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): jesli chciałeś po prostu pozbyć się tych logów to wystarczyło zmienić gadatliwość klogda. jeśli chciałeś przekierować logi na inny terminal to włąśnie to zrobiłeś i chyba działa :) a jeśli działa to jest git . Działa i jest git :-) Kontynuując jeszcze ten wątek, logi mam na /dev/tty12, z linuxem łączę się przez putty Jest możliwość aby zalogować się na tą 12 i zobaczyć logi czy tylko tail -f /var/log/syslog ? Dostęp do netu mam przez ppp0. Firewalla ręcznie startuje ze skryptu, często pojawia się tam odwołanie do ppp0, którego faktyczne jeszcze nie ma i skrypt wyrzuca dużo błędów. Dopiero po połączeniu można bezpieczne uruchomić skrypt, ale przez chwilkę linux jest beż żadnego zabezpieczenia :) Jest możliwość aby jakoś połączyć to wszystko, a najlepiej żeby przy starcie sam odpalił sie skrypt łączący z netem i później ten firewall (lub odwrotnie o ile tak mozna zrobić) Jeżeli ktoś wie jak to najlepiej rozwiazac prosze o pradę Pozdrawiam
Re: Firewall i Logi na konsolach
Witam! Akurat 24-01-2006 (wto) o godz. 01:22 Jarek Buczyński napisał(a): Działa i jest git :-) Doraźnie: setterm -msg off (ten temat wraca co jakiś czas, jak upiorny śmiech ;)) Jest możliwość aby jakoś połączyć to wszystko, a najlepiej żeby przy starcie sam odpalił sie skrypt łączący z netem i później ten firewall Do automatycznego odpalania był kiedyś stary, dobry: /etc/ppp/ppp_on_boot, ale już jest deprecated (i słusznie). Użyj standardowej metody podnoszenia interfejsów. (lub odwrotnie o ile tak mozna zrobić) Aby odpalić skrypt po nawiązaniu połączenia przez ppp, umieść go (lub odwołanie do niego) w /etc/ppp/ip-up.d I polecam gorąco `man pppd`. Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk IRC: tym0n GG: 136500 TEL: 512805797 GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall
ukasz Wjcik napisa(a): Witam, mam taki skrypt firewall'a uruchomiony. i w momencie kiedy mam 2 ostatnie linijki aktywne, to komputery z profilami mobilnym, na ktrych loguj si do serwera samby (to ten sam komputer na ktrym jest firewall) s strasznie zamulone, klient poczty thunderbird, nie potrafi wysa poczty, ale j bezproblemu odbiera, strony www dziaaj normalnie. jak mog rozbudowa ten firewall aby cay wiat zewntrzny mnie nie widzia, jedyne moliwe poczenie byo dla ssh ale cay lokal dziaa ok. dziki wielkie za wszelkie odpowiedzi rnice si od MAN IPTABLES a jednak man iptables: poszukaj hase: established, related, tcp-reset #wejscie /sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -t filter -A INPUT -s ! 192.168.0.0/255.255.255.0 -j DROP Lepszym pomysem jest: /sbin/iptables -P INPUT DROP ## TCP-RESET moe pomc...cho nie musi. /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 113 -d x.x.x.x \ --syn -j REJECT --reject-with tcp-reset /sbin/iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT ## a problem jest pewnie w tym miejscu: /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Cho przeml, czy dobrym pomysem jest wpuszczanie caegu ruchu z lanu. Przemyl postawienie ssh na innym porcie ni standardowy, bdziesz mia w logach mniej mieci. /yanek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall
Uytkownik ukasz Wjcik napisa: Witam, mam taki skrypt firewall'a uruchomiony. [...] Twj firewall wskazuje, e nie rozumiesz dziaania iptables i firewall'a. Dlaczego tak sdz??!!?? 1. Na og definicj ciany ogniowej zaczynasz od definicji polityk domylnych (iptables -P acuch polityka) i na og wszystko jest blokowane. Sprowadza si to wic do zapisu: iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -P INPUT DROP Wygodniej ochroni si blokujc domylnie wszystko i odblokowujc tylko to co niezbdne ;) 2. Odblokowa trzeba odblokowa transmisj na systemowym interfac'ie lo: iptables -I OUTPUT -o lo -j ACCEPT iptables -I INPUT -i lo -j ACCEPT 3. Nie zdefiniowae co zrobi transmisj ju nawizan: iptables -A acuch -m state --state ESTABLISHED,RELATED -j polityka na og: iptables -P OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 4. Maskarada skada si de facto z przynajmniej dwch definicji: - w tabeli filter: iptables -A FORWARD -s ip_source -p tcp --dport port_dsc -j ACCEPT i jeli nie mapujesz portw zewntrznych nie masz co definiowa, jak to nazwae, 'wiat do mnie'. - w tabli nat iptables -t nat -A POSTROUTING -s ip_source -j MASQUERADE Nie rozumiem dlaczego zezwalasz na transfer na tak dziwnych portach. 5. Musisz zdefiniowa przynajmniej dwie pozycje dla acucha INPUT definiujce na ktrych portach mona 'wej na serwer'.. - Dla klientw z sieci lokalnej. iptables -A INPUT -s ip_source -p tcp --dport port -j ACCEPT - Dla klientw z internetu. iptables -A INPUT (-s ip_source | i eth_in) -p tcp --dport port -j ACCEPT 6. Wypadaoby te zdefiniowa jakie usugi s osigalne z serwera na zewntrz. iptables -A OUTPUT -p tcp --dport port -j ACCEPT Podany powyej algorytm jest bardzo oglnikowy i nie jest 'jedynie susznym rozwizaniem'. Jest wiele sposobw na poprawne zabezpieczenie si przed intruzami. Nie wspomniaem tu o wielu wanych rzeczach (udp, icmp, ...). Mogem te popeni kilka literwek. Powodzenia i czytaj, szukaj, szukaj, czytaj ;). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall by www
On Wed, 7 Jul 2004 11:01:36 +0200 Wojtek [EMAIL PROTECTED] wrote: mozesz przeciez tak skonfigurowac, zeby byl widoczny tylko dla kilku adresow wewnatrz sieci... Pozatym zawsze mozna wylaczyc usluge. Ja osobiscie wole shorewalla recznie konfigurowac - jakos nie lubie webmina. Pozdrowienia Wojtek a cos bez webmina - slyszalem zarzuty, ze jest ponoc dziurawy - ale mozliwe ze to tylko plotki pozdrawiam - iwi Kilka dni nie używałem komputera i co się okazało?? debian-user-polish zmienił swoją politykę odnośnie pola nagłówka Reply-To: ? A odpowiedzi pisze się nad cytowanym tekstem? Nie wspominając o cytowaniu całości wątku... Zanim następnym razem napiszą Panowie na listę dyskusyjną, proszę się douczyć z zakresu netykiety (w google wpisać 'netykieta' bez cudzysłowów). Przecież takiego wątku sie czytać nie da. -- _ _ Pozdrawiam,__ _ |_)|_)o _ _|_ .__ _. / \ / o _| _ ._ |\ ||_ | ._ | | | |(/_ |_ | \/(_|(_| | (|/ \_|(_|(/_| | \||_ | o |_)| Paweł Pietryga/ _| \__ GG: 4595269 | JID: [EMAIL PROTECTED]
Re: firewall
#samba $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT nie polecam otwierac samby na swiat, jesli tylko dla lokalu i tak masz tam policy ACCEPT Mialem kiedys mdk z samba otwarta na swiat. Do owej samby co okolo 0.3 s podlaczal sie jakis host (przewaznie z wloch) i chcial wykonac jakas funkcje (byly to bardzo rozne dziwne nazwy) . Po jakims czasie w systemie haslo na roota zmienialo sie SAMO. po przejzeniu logow i .bashrc okazalo sie ze user samby (po uprzedfnim zalogowaniu sie na niego w wloch albo czegos takiego) wykonal na sambie jakis kawalek swojego kodu i przjeal roota. potem troche namiachal w systemie , tak ze fsck przemielilo wszystko i wrzucilo do lost+found. Jakas masakra. wersja samby byla X..27a. Po zupgrejdowaniu do wyzszej wesji mialem to samo. Jakas masakra.. ale chyba tylko mendrejk tak ma.
Re: firewall
Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11 Cześć $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT upierasz się przy odblokowaniu wszystkich portów dla lanu? $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Na OUTPUT masz policy ACCEPT wiec powyższe jest bez sensu... $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0 -j SNAT --to $ SWIAT co upraszczamy do: $IPT -t nat -A POSTROUTING -s $LAN -j SNAT --to $SWIAT #wpuszczamy ping $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT -m state --state NEW Znow bezsensowne regolki dla OUTPUTa... #samba $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT nie polecam otwierac samby na swiat, jesli tylko dla lokalu i tak masz tam policy ACCEPT ##Zabezpieczenie przez powodzią SYN (Syn-flood): $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT dupa, wczesniej otworzyles FORWARD dla ESTABLISHED,RELATED masz juz sflodowaą sieć. ##Skaner portów Furtive: $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT jw. ##Ping of death: $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT jw. /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport 25,53,110 -m state --state NEW -j ACCEPT e przemysl calosc jeszcze raz, polecam `man iptables` echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/conf/all/accept_source_route ? I nie wiem gdzie zrobiłem blad. Za wszelką pomoc z góry dziękuje. sporo tego... sprobuj poszukac informacji w man, www.netfilter.org i przez googla. pozdrawiam y.
Re: firewall
On Saturday 29 of May 2004 00:50, adam wrote: Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11 Ograniczyć możliwość korzystania z sieci do tego, żeby działał mu dns i poczta, zrobiłem takiego firewalla: #!/bin/bash IPT=/sbin/iptables ETHOUT=eth0 ETHLAN=eth1 SWIAT=zewnetzne IP LAN=192.168.1.0/24 TCP_IN_ALLOW=21,25,53,80,110,3128,8000 UDP_IN_ALLOW=53,33501 $IPT -F 3 kolejne linie nie potrzebne, gdyż załatwia je ta wyżej $IPT -F INPUT $IPT -F OUTPUT $IPT -F FORWARD $IPT -F -t nat $IPT -F -t mangle $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT ## uslugi, ktore wpuszczamy. $IPT -A INPUT -i $ETHOUT -p tcp -j ACCEPT -m state --state NEW -m multiport --dport $TCP_IN_ALLOW $IPT -A INPUT -i $ETHOUT -p udp -j ACCEPT -m state --state NEW -m multiport --dport $UDP_IN_ALLOW #statefull-inspection $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT kolejne 3 linie nie potrzebne, bo politykę OUTPUT masz na ACCEPT: $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0 -j SNAT --to $ SWIAT #wpuszczamy ping $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT te 3 również nie potrzebne: $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT a w tej poniżej -d 0.0.0.0/0 nie ma najmniejszego sensu, bo jest to wartość domyślna $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT # wypuszczamy w swiat wszystko: znowu zbędna linia: $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT -m state --state NEW #samba $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT ##Zabezpieczenie przez powodzią SYN (Syn-flood): za duży limit jak na mój gust: $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT ##Skaner portów Furtive: $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT ##Ping of death: $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT wyżej masz taki oto wpis: $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT czyli wpuszczasz na serwer wszystko, oprócz interfejsu zewnętrznego; tak więc dalsze wpisy dla łańcucha INPUT dla interfejsu lanowego nie przyniosą żadnego skutku /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport 25,53,110 -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -p udp --dport 53 -m state --state NEW -j ACCEPT w poniższej linijce błąd - powinnieneś wpuszczaś z portu zrodlowego, czyli zamiast --dport podaj --sport /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -d 192.168.1.11 -j ACCEPT a tutaj ok: /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -s 192.168.1.11 -j ACCEPT -- pozdrawiam
Re: firewall
Właśnie czytałem o tym, ze jak wszystko wpuszcze to juz dla calego Lanu wszystko powinno działać, zrobie wedle wskazówek i zobacze jakie efekty. PS. a jakie wpisać limity w celu zabezpieczenia się przed floodowanie? Dzieki za wskazowki adam.
Re: [Firewall] Multiple interfaces
Yep, it's already in the latest beta(beta2). The next beta will also have load balanced masquerading. -arno Lth wrote: Is Arno planning use multiple internet (not LAN) interfaces in his firewall? Like this: http://linux.com.lb/wiki/index.pl?node=Load%20Balancing%20Across%20Multiple%20Links ___ Firewall mailing list [EMAIL PROTECTED] https://lists.btito.net/mailman/listinfo/firewall
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, Mi to bardzo przeszkadza. na wiele stron na prawde nie da sie wejsc, jest z reguly napisane ze jest Forbidden albo ze You do not have acces on this server. To jest bo jednak juz 1 nie dzialajacy zgadzam sie z toba, ale jesli z sieci jakiejs przychodzi mi spam, przychodza wirusy to nie ma innej rady. Przeciez nie ma blokad (tzn ja nie robie) hostow ot tak bo mi sie tak podoba. Nie w tym rzecz. To ze skads przychodzi spam albo wirusy to nic innego jak zawirusowanie drugiej strony. Na to juz poradzic nic sie nie da. Sami sa sobie winni. Jesli jestes u ISP z ktorego jest generowany spory ruch z wirusami - nie dziw sie ze na niektore serwisy nie da sie wejsc. Powiedz adminowi by zaczal skanowac sieci w poszukiwaniu wirusow, niech blokuje komputery bez litosci - jedynie w ten sposob da sie te sytuacje unormnowac. URL to wkurza bardzo. Na przyklad shorewall.net - nigdy mi nie wchodzi. Tepsa powinna cos z tym zrobic. Dla przykladu, na wieksza teletepsa niewiele moze w tej kwestii, to nie od niej de fakto to zalezy. Cale hakierjstwo czy jak to G.. nazwac wzielo sie - podejrzewam - z dawnych czasow - gdzie kazdy wdzwanial sie modemcem do sieci i byl praktycznie bezkarny bo tepsa nie udostepniala logow, jedynie na wniosek prokuratury - a i to nie zawsze. czesc hubow na DC ++ tez sie nie da wejsc bo jest po prostu connection refused. Jak widac Polska ma nawet internet wadliwy. A juz sie zaczelo robic normalniej. robi sie normalniej, i bedzie coraz normalniej, ale potrzba na to czasu i lepszego uswiadamiania userow w LANach, wprowadzania szyfrowanych polaczen, ochrony antyspamowej, proxowania i snifowania ruchu. Duze wyzwanie przed administratorem i nie proste zadanie przy wiekszych sieciach. -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, niedogodnosci. Obecnie wszystko chyba jest w normie ( jak to w Polsce to dlaczego Portsentry na przyklad blokuje co jakis czas kogos z tej puli ? 80.xxx, 83.xxx i podobne to 90% zablokowanych adresow. Ja rozumiem i wiem ze to rozne smieci u ludzi na komputerach, i nie jest to de fakto wina tepsy. Ale nie moge sobie pozwolic na to by jakies smieci (juz i tak w sporej czesci bedace w lanie) nadal do lanu trafialy. I za norme tego nie uwazam. Ciekawe ze zaden z adresow z puli ProFuturo, Crowleya czy innych nigdy nie trafia na taka liste ? Notabene: ma ktos jakis pomysl na wirusy szalejace w lan miedzy kompami ? czy np do snorta da sie podpiac jakies fajne regulki do wykrywania roznego rodzaju badziewia ? sa gdzies jakies bazy dostepne ? BTW. Dzieki takim wirusom serwer pocztowy ktory jest na tym samym IP co jeden z LANow trafia na liste spamerska ... w ... Co prawda ostatnio bardzo zadko bo tepie i robie pogrom w lanie - co chwile ktos ma zablokowany komp z powodu wirusow - ludzie juz zdarzyli sie nauczyc co to jest Antywirus ze potrzebne sa nowe bazy, co to jest personal firewal, update systemu itp. - praktycznie tylko dzieki temu. Jednak wiele z wirusow przechodzi niezauwazonych siejac spam - nie moge tego zniesc a nie mam jakos pomyslow. portsentry i inne zabawki maja co robic czasem :] hmm blokowanie tak ale chyba odwet, o ile o tym tu mowa, przeciwko komuś kto i tak juz jest przegranym bo nabył wejście na super strokę sexy emule nie ma sensu. zgadzam sie w 100%. przy czym nie jest to rodzaj odwetu a swego rodzaju zabezpieczenie. Bany sa sciagane raz na jakis czas (aczkolwiek dosc dlugi). -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Mi to bardzo przeszkadza. na wiele stron na prawde nie da sie wejsc, jest z reguly napisane ze jest Forbidden albo ze You do not have acces on this server. To jest bo jednak juz 1 nie dzialajacy URL to wkurza bardzo. Na przyklad shorewall.net - nigdy mi nie wchodzi. Tepsa powinna cos z tym zrobic. Dla przykladu, na wieksza czesc hubow na DC ++ tez sie nie da wejsc bo jest po prostu connection refused. Jak widac Polska ma nawet internet wadliwy. A juz sie zaczelo robic normalniej.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Użytkownik /Wojciech Ziniewicz/ napisał: czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? podobno duzo chakerow jak to ktos napisal korzystalo z takich IP ;) gartus
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? popatrz co to za pula adresow i do kogo nalezy :-) w sumie whois wiele nie chce mowic wpisujac adres: whois 83.16.106.18 chodzi o tepsiarstwo, neostrady i inne ... sporo lamerskich i nie tylko atakow mozna zauwazyc z tych adresow. Juz nie raz wysylalem listy do abuse - ba na niektore nawet odpowiedzieli :) na 2 nawet zareagowali :] to juz bylem pod wrazeniem szybkosci - zaledwie tydzien :D portsentry i inne zabawki maja co robic czasem :] -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Monday 17 of May 2004 12:01, Marcin wrote: Witajcie, czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? popatrz co to za pula adresow i do kogo nalezy :-) w sumie whois wiele nie chce mowic wpisujac adres: whois 83.16.106.18 chodzi o tepsiarstwo, neostrady i inne ... sporo lamerskich i nie tylko atakow mozna zauwazyc z tych adresow. 8-- Kiedys ta pula adresów była podobno właśnie wykorzystywana do różnych rodzaji ataków. Po tym jak tepsa stała sie posiadaczem podobno niektórzy ludzie będacy w posiadaniu neo bodź DSL mieli z tego powodu niedogodnosci. Obecnie wszystko chyba jest w normie ( jak to w Polsce oczywiście ) (instytucje które blokowały dostep z 83... do swoich servisów / sieci zostały podobno powiadomione o fakcie nabycia przez tepse 83... To ze obecnie z tych adresów mozna zauważyć jakieś takie dziwne akcje to nie wina tepsy tylko głupoty ludzi, którzy rejestrują się i ssaja wszelkiego rodzaju trojany, backdory itp ze stron superftp albo tutaj extra laski i kaza Juz nie raz wysylalem listy do abuse - ba na niektore nawet odpowiedzieli :) na 2 nawet zareagowali :] to juz bylem pod wrazeniem szybkosci - zaledwie tydzien :D no dwa tygodnie to chyba i tak się wysilali ;) portsentry i inne zabawki maja co robic czasem :] hmm blokowanie tak ale chyba odwet, o ile o tym tu mowa, przeciwko komuś kto i tak juz jest przegranym bo nabył wejście na super strokę sexy emule nie ma sensu. -- Paweł Bielecki E-mail: pawciobiel(at)kozmianet(dot)kom(dot)pl JID: pawciobiel(at)jabber(dot)org
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
/Wojciech Ziniewicz/ wrote: www.shorewall.net a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach ipfwadm albo cos takeigo) Zgoda - lepiej się nauczyć samemu, z jednym zastrzeżeniem: NIE iptables i ipchains (z ipfwadm), tylko iptables LUB ipchains (z ipfwadm) ze wskazaniem na iptables jako nowsze, lepsze, przejrzystsze, itd. -- PS
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Sun, 16 May 2004 13:49:09 +0200 Piotr Stefański [EMAIL PROTECTED] wrote: /Wojciech Ziniewicz/ wrote: www.shorewall.net a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach ipfwadm albo cos takeigo) Zgoda - lepiej się nauczyć samemu, z jednym zastrzeżeniem: NIE iptables i ipchains (z ipfwadm), tylko iptables LUB ipchains (z ipfwadm) ze wskazaniem na iptables jako nowsze, lepsze, przejrzystsze, itd. Dziwne. Moj shorewall uzywa iptables i ipchains a poza tym laduje w cholere jakis starych jak i nowych modulow. Ale tak na prawde to polecam shorewalla - jest po prostu banalny w obsludze - nawet z webmina nie trzeba korzystac bo wszystko jest (w zasadzie) w pliku rules. niestety mam szanowna neostrade i mi strona shorewall.net nie wchodzi. A wlasnie. .. czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego?
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Sat, 15 May 2004 18:02:21 +0200, Cezary Marchel [EMAIL PROTECTED] wrote: Witaj debian-user-polish! Mam dwa sprawy: 1.Uzywam debiana jako router do rozdzielenia sygnalu internetowego w domu. Czy mozecie mi polecic firewall do zastosowan domowych? A moze nie ma takiego podzialu i jest kilka poprostu dobrych firewall'i... I jeszcze jedno-czy moge pozwolic sobie aby firewall byl zainstalowany tylko na routerze czy ma byc na kazdym komputerze? Moj router jest za natem provider'a wiec moj desktop jest za podwojnym natem... 2.Pisalem juz wczesniej o problemie z instalacja jaja. To wyglada tak ze kompiluje jadro linux 2.4.26 na moim desktopie (athlon 2000xp+) i przezucam go na router(pentium 200 mmx), na p200 wpisuje cos takiego: $ dpkg -i kernel-image-2.4.26_p200.2.4.20+nfs_i386.deb i otrzymuje to co jest w zalaczniku. jadro bylo kompilowane w ten sposob(jako su): $ make mrproper $ make clean $ make xconfig $ make-kpkg clean $ make-kpkg --revision=786:p200.2.4.20+nfs kernel_image to niestety nie skutkuje :( czy moglby mi ktos pomoc? www.shorewall.net a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach ipfwadm albo cos takeigo)
Re: firewall i ciagle otwarte porty
On Mon, Apr 05, 2004 at 04:27:35PM +0200, Adam Soko?owski wrote: zabepzieczam firewall i ciagle mam nastepuajce otwarte tcp porty: 21 ftp 389 ldap nie instalowalem ich a nawet bardzo bym chcial je usunac wychaszowalem z /etc/service z /etc/inted.conf rowniez update-inetd --disable ... i nic ciagle sa otwarte w ktorym miejscu mozna je pozamykac ?? system debian woody stable Nie hashować w /etc/services, a tylko w /etc/inetd.conf. Na koniec dać z palca: killall -HUP inetd -- __ _ | |__ / |__ _ _ ___ ___| | __ | ---[EMAIL PROTECTED] GG: 4180810 --- / /| '_ \| | | / __|_ / _ \ |/ / | - JID: [EMAIL PROTECTED] - / /_| |_) | |_| \__ \/ / __/ | --- LRU: 346785 --- /|_.__/ \__, |___/___\___|_|\_\ | --- GPG:--- |___/ |
Re: Firewall na serwerze i ftp pasywny oraz aktywny
On Sat, 13 Mar 2004 01:28:45 +0100 Marek Adamski [EMAIL PROTECTED] napisał(a): Jeżeli dobrze zrozumiałem te regułki to dopisanie tych 3 linijek powinno pomóc. Ja regulki do output dalem na wyrost - bo de facto output to ja mam iptables -P OUTPUT ACCEPT dlatego w dokumencie na poczatku napisalem ze INPUT jest drop :/ Masz jeszcze jakies pomysly? Pozdrawiam -- Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing, sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Re: Firewall na serwerze i ftp pasywny oraz aktywny
Witaj Adrian, W Twoim liście datowanym 12 marca 2004 (13:40:06) można przeczytać: AS Hej, pisze bo juz nie wiem co mam sadzic na ten temat :) AS Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc - AS jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie AS jest z osobna wpisywana na firewallu. AS Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak: AS iptables -P INPUT DROP AS ## Make sure NEW tcp connections are SYN packets AS iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP AS # ICMP stuff AS iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j AS ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j AS ACCEPT Te regułki jak dla mnie wskazują na możliwość łączenia się do tego komputera na usługę ftp. Jeżeli tak ma być to dopisałbym tu: AS # Wszyscy moga podlaczyc sie do FTP/21 AS iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT AS iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p udp --sport 21 -j ACCEPT AS # Wszyscy moga podlaczyc sie do FTP-DATA/20 AS iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 20 -j ACCEPT Regułki niżej wskazują na możliwość łączenia się z tego kompa do ftp innych serwów. AS UNPRIVPORTS=1024:65535 AS # Allow ftp outbound. AS iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state AS ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m AS state --state NEW,ESTABLISHED -j ACCEPT AS # 1) Active ftp. AS # involves connection INbound from remote port 20 to a local port AS iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state AS ESTABLISHED,RELATED -j ACCEPT AS iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state AS ESTABLISHED -j ACCEPT AS # 2) Passive ftp. AS # involves connection outbound from port 1023 to a port 1023 AS (*)iptables -A INPUT -i eth0 -p tcp --sport $UNPRIVPORTS --dport AS $UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT AS iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport AS $UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT AS Regulki pochodza ze strony AS http://www.sns.ias.edu/~jns/security/iptables/rules.html AS Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac AS katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED AS pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania AS polacze bo jest NEW (czy gdzies sie myle??). AS Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp AS nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc AS reguly. AS Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal AS przejsc calemu ftp nie odkrywajac wszystkich wysokich portow? AS Pozdrawiam AS -- AS Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing, AS sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE) Jeżeli dobrze zrozumiałem te regułki to dopisanie tych 3 linijek powinno pomóc. -- Pozdrowienia, ** * Marek (SirAdams) Adamski * *ICQ:42751516* * GG:14747 * * Linux user:#253788 * **
Re: firewall, kde, samba
W liście z pon, 29-12-2003, godz. 23:40, Michał Niezbecki pisze: Witam, Dzis hurtowo, 3 pytanka :) 1. Ktos kiedys na liscie podawal jako przyklad bardzo przyjemna rozbudowana konfiguracje firewalla na iptables. Niestety zniklo gdzies w otchlaniach dysku.. Moglbym prosic jeszcze raz? To moglem byc ja. Jak to ja znajdziesz to tu: http://michal.linuxstuff.pl/iptables.txt P.S. Skorzystam z okazji posylania posta. Poniewaz denerwuje mnie coraz wieksza ilosc spamu, jaka przychodzi mi na onetowe konto, zrezygnuje z niego, jezeli ktos bedzie mial wole napisc cos do mnie, moj nowy adres: michal malpka linxstuff.pl Pozdrawiam wszystkich i zycze szczesliwego nowego roku :). Michal
Re: Firewall
W liście z nie, 07-12-2003, godz. 01:42, Krzysiek pisze: czesc Jak mam zrobic jesli chce aby moj firewall oparty na iptables akceptowal pakiety z serwerow o niestalych potrach (np net2phone) ? Witaj. Wystraczy ze w regulce nie okreslisz adresu hosta, a jedynie podasz dozwolony port z ktorego jakikolwiek ruch wchodzacy jest dozwolony. Moze maly przykladzik, co mam na mysli: iptables -A INPUT -i eth0 -p tcp --dport xxx -j ACCEPT gdzie tutaj akurat ruch wchodzacy jest na karcie sieciowej eth0, protokol tcp no i port docelowy (destination port) xxx (uzupelnij sobie wartoscia portu);-P. Praca domowa: man iptables ;-). Pozdrowka -- Dr_M dr.m(koczkodan)poczta(kropka)fm gg:4686184 JID: [EMAIL PROTECTED] Registered Linux User #326756
Re: firewall i blokada adresu internetowego
Witam! Akurat 11-08-2003 (poniedziałek) o godz. 14:04 PeterMax na Go napisał(a): Chciabym sie dowiedziec czy jest mozliwosc zablokowania konkretnego adresu www (nie IP serwera) na firewallu czy musze koniecznie odpalic jakiegos proxy serwera? Tutaj odpowiadam na list, który wysłałeś do mnie na priv. Założenia: 1. Serwis www na zewnątrz 2. Iptables 3. Blokada dotyczy wszystkich w LAN Odpowiedź: iptables -A FORWARD -d IP_SERWISU_WWW -j DROP Teraz wpisanie do przeglądarki adresu tego serwisu spowoduje oczekiwanie w nieskończoność na odpowiedź. Oczywiście jest to tylko jedno z możliwych rozwiązań. Wszystko zależy od konfiguracji firewalla. Pozdrawiam Tomasz Skrynnyk -- Linux Registered User #277542 | http://lab02.host.sk | GG: 136500
Re: firewall i blokada adresu internetowego
Witam! Akurat 11-08-2003 (poniedziałek) o godz. 14:04 PeterMax na Go napisał(a): Chciabym sie dowiedziec czy jest mozliwosc zablokowania konkretnego adresu www (nie IP serwera) na firewallu czy musze koniecznie odpalic jakiegos proxy serwera? W takim ujęciu nie widzę związku między jednym a drugim :(. A poza tym zadaj precyzyjne pytanie! Chodzi o zablokowanie dostępu do serwisu konkretnemu użytkownikowi, całkowite zablokowanie strony? To jest strona/serwis na zewnątrz (LAN) czy wewnątrz? Chcesz blokować wyjście czy powrót? Używasz iptables czy ipchains... Jakoś z fusów mi nic nie wychodzi ;))) Pozdrawiam Tomasz Jakub Skrynnyk -- Linux Registered User #277542 | http://lab02.host.sk | GG: 136500
Re: firewall i problemy
On Fri, 25 Jul 2003 20:27:37 +0200 Grzegorz K [EMAIL PROTECTED] wrote: 2. FORWARD i INPUT do i z sieci wew. mam akceptowany. Nizej napisalem w jaki sposob blokuje wszystkie porty i udostepniam moje uslugi. Mimo tego userzy moga stawiac np. bnc. Otwieraja porty i sa one dostepne dla ludzi z zewnatrz. Co zrobilem zle? Czemu sa dostepne? iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j DROP INPUT to pakiety, które mają trafić do twojego systemu. Jeżeli oni stawiają cokolwiek na systemie z firewallem, to pakiety od nich wychodzą przez OUTPUT. Jeżeli z sieci lokalnej, to przechodzi przez FORWARD, albo POSTROUTING. iptables -A INPUT -p tcp -m multiport --destination-port 21,22,25,53,80 -m state --state NEW -j ACCEPT wyglądałoby ładniej i czytelniej ;) -- Pozdrawiam, Michał Byrecki
Re: Firewall i samba
/ciach Niestety dalej mam problem z wejsciem na komputer poprzez otoczenie sieciowe z poziomu win2k. Co dziwniejszcze mode sie dostac na komputer po adresie IP a netbios nie dziala!!! Moze jakies sugestie /ciach 1. Włączyć rozpoznawanie przez lmhosts i zaaplikować mu odpowiednie wpisy do lmhosta na w2k i linuksie. Pogooglaj dokładnie gdzie powinien się znajdować. 2. Sprawdź czy w2k włączone są bcasty - gdzieś w tym samym okienku co włączanie rozpoznawania lmhosts. 3. Zaaplikuj wpis do rejestru w2k: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Browser parametr Start = dword 0004 Na linuksie ustaw sambe jako LMB - opcja prefferred master = yes i os level = 64 Zrestartuj w2k i serwer samby Pzdr Barthoosh signature.asc Description: PGP signature
Re: Firewall i samba
Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo lokalnie otoczenie sieciowe: na przyklad tak: (za pomoca skryptu, zeby mniej sie napisac) #!/bin/csh set ipki = IP1 IP2 ... IPn #nmb i smb (porty 137,138,139): foreach IP ($ipki) iptables -A INPUT -p tcp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 139 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 139 -s $IP -m state --state NEW -j ACCEPT end a i moze DNS warto tez odblokowac #DNS (port 50): iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Pozdrowienia, Maciej Bobrowski
Re: Firewall i samba
On Fri, Jul 18, 2003 at 07:46:50AM +0200, Maciej Bobrowski wrote: a i moze DNS warto tez odblokowac #DNS (port 50): iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Od kiedy DNS to port 50? :) Wanted
Re: Firewall i samba
#DNS (port 50): iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Od kiedy DNS to port 50? :) pomylka! powinno byc 53 oczywiscie. Pozdrawiam, Maciej
Re: Firewall i samba
- Original Message - From: Maciej Bobrowski [EMAIL PROTECTED] To: polska lista debianowa debian-user-polish@lists.debian.org Sent: Friday, July 18, 2003 7:46 AM Subject: Re: Firewall i samba Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo lokalnie otoczenie sieciowe: na przyklad tak: (za pomoca skryptu, zeby mniej sie napisac) #!/bin/csh set ipki = IP1 IP2 ... IPn #nmb i smb (porty 137,138,139): foreach IP ($ipki) iptables -A INPUT -p tcp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 139 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 139 -s $IP -m state --state NEW -j ACCEPT end a i moze DNS warto tez odblokowac #DNS (port 50): iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Pozdrowienia, Maciej Bobrowski Niestety dalej mam problem z wejsciem na komputer poprzez otoczenie sieciowe z poziomu win2k. Co dziwniejszcze mode sie dostac na komputer po adresie IP a netbios nie dziala!!! Moze jakies sugestie
Re: Firewall i samba
Jak podają anonimowe źródła, przepowiedziano, że Tomasz M. napisze: Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo lokalnie otoczenie sieciowe: w chwili obecnej mam cos takiego: $IPTABLES -A INPUT -i $INTDEV -p tcp --dport 139 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i $INTDEV -p udp --dport 139 -m state --state NEW -j ACCEPT probowalem na rozne sposoby i nic Help Me! Spróbuj: s/139/137:139/g prawdopodobnie przyda się jeszcze dopuszczenie zapytań z portu 137 na DNS. Pozdrawiam -- Jacek Kawa **Define the universe. Give three examples.** [r.h.f.r]
Re: Firewall i samba
On Thu, Jul 17, 2003 at 11:26:48PM +0200, Tomasz M. wrote: Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo lokalnie otoczenie sieciowe: w chwili obecnej mam cos takiego: $IPTABLES -A INPUT -i $INTDEV -p tcp --dport 139 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i $INTDEV -p udp --dport 139 -m state --state NEW -j ACCEPT probowalem na rozne sposoby i nic Help Me! Zobacz archiwum listy. Mialem ten sam problem, ale dobre ludki pomogly i dziala slicznie. Jasta tam podany moj przyklad firewalla + to co zasugerowali debian-userzy w ramach pomocy :-) -- Pozdrawiam ** Krzysztof Krupa ** **GG: 1104936 ** ** [EMAIL PROTECTED] **
Re: firewall
On Mon, Jul 07, 2003 at 12:10:20PM +0200, Maciej Bobrowski wrote: jakos nie dziala. probuje sie zatelnetowac z tego IP na 34300 a on mowi, ze: telnet: Unable to connect to remote host: Connection refused A cokolwiek slucha na tym porcie? (netstat -tapn) na niego zatelnetowac. Nie wiem w czym problem. Moze na niego nie mozna sie w ogole polaczyc?? Zapewne tak wlasnie jest -- Robert Ramiega | [EMAIL PROTECTED] IRC: _Jedi_ | I find your lack of Use ROT-13 =o) | | faith disturbing Some day I will be the most powerfull admin ever! - AOTC^HU
Re: firewall
telnet: Unable to connect to remote host: Connection refused A cokolwiek slucha na tym porcie? (netstat -tapn) Racja. Po odpaleniu aplikacji dziala i wpuszcza :) Dzieki, Maciej Bobrowski
Re: firewall
http://rtfm.bsdzine.org Jak przeczyatsz caly tejst to zadaj pytanie chwalac sie znajomoscia powyrzszego. Pozdrawiam -- mirek
Re: firewall i lan
Mam stale lacze (chello) i do opieki kilka kompow pod Win2000. Chcialbym postawic firewalla i zrobic sobie siec lokalna na bazie Debiana, zeby te windozy mogly sie laczyc z Internetem. Nie powiem, zebym byl w tym temacie biegly, gdzie moge o tym poczytac? man HOWTO google pl.comp.networking pl.comp.os.linux.sieci P.S. Obowiązkowo w w/w kolejności. Oczywiście najpierw przeczytaj archiwa grup. -- Alrond
Re: firewall i lan
On Tue, Oct 22, 2002 at 11:21:50AM +0200, Alrond wrote: Mam stale lacze (chello) i do opieki kilka kompow pod Win2000. Chcialbym postawic firewalla i zrobic sobie siec lokalna na bazie Debiana, zeby te windozy mogly sie laczyc z Internetem. Nie powiem, zebym byl w tym temacie biegly, gdzie moge o tym poczytac? man HOWTO co do tego to proponuje: www.jtz.org.pl i tam jest sporo opisow, czesto nieco przestarzałe, ale jest od czego zaczynac, poza tym jeszcze (z moich zbiorow :)) : ftp://ocelotl.eu.org/pub/comp/books/linuxadm.pdf lub to samo w plain-text: ftp://ocelotl.eu.org/pub/comp/books/linux.txt pzdr yanek -- System operacyjny typu Yo-Yo to WinNT. Raz w górę... raz w dół... raz...