Re: Serwer NTP - firewall
On Thu, Apr 07, 2011 at 12:16:06PM BST, Bogusław Jan Kostrzeński wrote: > # Network Time Protocol (NTP) Server > iptables -A udp_inbound -p UDP -s 0/0 --destination-port 123 -j ACCEPT Sprobuj: iptables -A OUTPUT -p udp -sport 123 -j ACCEPT -- Raf -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110408150754.ga3...@linuxstuff.pl
Serwer NTP - firewall
Mam problem z konfiguracją firewalla na debianie Lenny. Dla potrzeb synchronizacji czasu sieci lokalnej na jednym z serwerów zainstalowałem pakiet ntp. Wszystko jest pięknie do chwili uaktywnienia skryptu firewalla na interfejsie eth->LAN. Wpis dla iptables -> # Network Time Protocol (NTP) Server iptables -A udp_inbound -p UDP -s 0/0 --destination-port 123 -j ACCEPT Wszystkie usługi tego serwera przechodzą przez firewalla poprawnie z wyjątkiem ntp. -- Pozdrawiam BK Uwaga: Wiadomość jest przeznaczona tylko dla jej adresata. Dostęp osób trzecich do tej wiadomości jest zabroniony. Jeśli nie jest Pan/i adresatem niniejszej wiadomości, informujemy, że jej rozpowszechnianie, kopiowanie, rozprowadzanie lub inne działanie o podobnym charakterze jest zabronione i może być nielegalne. Prosimy o poinformowanie nadawcy oraz usunięcie wiadomości bez otwierania załączników. Attention: This email is intended solely for the addressee. Access to this email by anyone else is unauthorized. If you are not the intended recipient, any disclosure, copying, distribution or any action taken or omitted to be taken in reliance on it, is prohibited and may be unlawful. Should you receive this message by mistake, you are hereby notified that any disclosure, reproduction, distribution or use of this message is strictly prohibited. Please inform the sender by reply transmission and delete the message without opening the attachments. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51394.10.0.44.28.1302174966.squir...@poczta.pbg.com.pl
Re: firewall+ router+ bramka vpn
Maciej Kóska napisał(a): Na poczatku przepraszam ...od razu powinienem był zrobic to nowym watkiem... Rozkminiam juz ten mój problem od jakiegos czasu i poddałem sie i już tu chyba przy nim osiwieje...bo nie raz juz to zestawiałem i działało ok... a teraz nie wiem gdzie lezy blad. Chodzi mi o to że po zestawieniu VPN-a z moim routerem (router, firewall, bramka vpn na 1 kompie, na debianie) moge pingnac z komputera zdalnego (klienta vpn) tylko interfejs lokalny routera ale nic poza nim...nie wiem czemu, ponizej konfig openvpn-a i sam firewall...jesli ktos cos zauwazy to bardzo prosze o opinie Dzieki raz jeszcze :) za dzielenie sie wiedze, cierpliowsc i swieze spojrzenie Pozdrawiam Maciej FIREWALL CONFIG iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP pewnie powyższy blokuje :) sprubój dać mu ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward echo !WLACZANIE FIREWALLA! i forwardy możesz wtedy wywalić # # FORWARD wszystkich pakietów z sieci wewnętrznej (eth0) do internetu (ppp0) # iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT ten też # FORWARD wszystkich pakietów z internetu (ppp0) do sieci wewnetrznej (eth0) które sa czescia istniejacych i nawiazanych polaczen # iptables -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie do samego firewall wszystkich pakietow które sa czescia istniejacych lub nawiazanych polacz # iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie wszystkich polaczeń z interfejsow lokalnych # iptables -A INPUT -i eth0 -j ACCEPT #Tą część zmieniłbym na iptables -A INPUT -i ! ppp0 -j ACCEPT a tej już nie trzeba iptables -A INPUT -i lo -j ACCEPT # # Wlaczenie udostepniania polaczenie internetowego dla komputerow w sieci lokalnej # iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQUERADE # # Wlaczenie zdalnej administracji routerem # #iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 192.168.1.4 --dport 22 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT # # Wlaczenie servera FTP # #iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -d 192.168.1.10 --dport 21 -j ACCEPT # Wlaczenie odpowiedzi na ping z internetu # iptables -A INPUT -i ppp0 -p icmp --icmp-type 8 -j ACCEPT # # Wlaczenie VPN-a # iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT -OPENVPN BRAMA CONFIG # plik konfiguracyjny serwera (bramy VPN) port 1194 proto udp dev tun ;user nobody ;group nobody comp-lzo ; ping 15 ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key #tls-server dh /etc/openvpn/certs/dh1024.pem # certyfikat wystawcy (CA) ca /etc/openvpn/certs/cacert.pem # certyfikat bramy cert /etc/openvpn/certs/gwcert.pem # klucz prywatny bramy key /etc/openvpn/certs/gwkey.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.1.0 255.255.255.0" keepalive 10 120 persist-key persist-tun #crl-verify /etc/openvpn/certs/crl.pem verb 5 log openvpn.log Pozadrawiam Korze Hej, Dzieki za radę :) - testowałem ale niestety dalej nic...sam już nie wiem w czym jest problemjedyna różnica w tej konfiguracji, od innych które mi działały to, to, że w klient vpn łączy się z bramką vpn (mój router) po nazwie zarejestrowanej w dyndns.org ...nie mam statycznego publiczengo ip, ale to chyba nie powinno mieć znaczenia Zastanawiam się czy problem nie leży jeszcze gdzieś indziej Pozdrawiam Maciej -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall+ router+ bramka vpn
Maciej Kóska napisał(a): Na poczatku przepraszam ...od razu powinienem był zrobic to nowym watkiem... Rozkminiam juz ten mój problem od jakiegos czasu i poddałem sie i już tu chyba przy nim osiwieje...bo nie raz juz to zestawiałem i działało ok... a teraz nie wiem gdzie lezy blad. Chodzi mi o to że po zestawieniu VPN-a z moim routerem (router, firewall, bramka vpn na 1 kompie, na debianie) moge pingnac z komputera zdalnego (klienta vpn) tylko interfejs lokalny routera ale nic poza nim...nie wiem czemu, ponizej konfig openvpn-a i sam firewall...jesli ktos cos zauwazy to bardzo prosze o opinie Dzieki raz jeszcze :) za dzielenie sie wiedze, cierpliowsc i swieze spojrzenie Pozdrawiam Maciej FIREWALL CONFIG iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP pewnie powyższy blokuje :) sprubój dać mu ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward echo !WLACZANIE FIREWALLA! i forwardy możesz wtedy wywalić # # FORWARD wszystkich pakietów z sieci wewnętrznej (eth0) do internetu (ppp0) # iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT ten też # FORWARD wszystkich pakietów z internetu (ppp0) do sieci wewnetrznej (eth0) które sa czescia istniejacych i nawiazanych polaczen # iptables -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie do samego firewall wszystkich pakietow które sa czescia istniejacych lub nawiazanych polacz # iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie wszystkich polaczeń z interfejsow lokalnych # iptables -A INPUT -i eth0 -j ACCEPT #Tą część zmieniłbym na iptables -A INPUT -i ! ppp0 -j ACCEPT a tej już nie trzeba iptables -A INPUT -i lo -j ACCEPT # # Wlaczenie udostepniania polaczenie internetowego dla komputerow w sieci lokalnej # iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQUERADE # # Wlaczenie zdalnej administracji routerem # #iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 192.168.1.4 --dport 22 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT # # Wlaczenie servera FTP # #iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -d 192.168.1.10 --dport 21 -j ACCEPT # Wlaczenie odpowiedzi na ping z internetu # iptables -A INPUT -i ppp0 -p icmp --icmp-type 8 -j ACCEPT # # Wlaczenie VPN-a # iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT -OPENVPN BRAMA CONFIG # plik konfiguracyjny serwera (bramy VPN) port 1194 proto udp dev tun ;user nobody ;group nobody comp-lzo ; ping 15 ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key #tls-server dh /etc/openvpn/certs/dh1024.pem # certyfikat wystawcy (CA) ca /etc/openvpn/certs/cacert.pem # certyfikat bramy cert /etc/openvpn/certs/gwcert.pem # klucz prywatny bramy key /etc/openvpn/certs/gwkey.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.1.0 255.255.255.0" keepalive 10 120 persist-key persist-tun #crl-verify /etc/openvpn/certs/crl.pem verb 5 log openvpn.log Pozadrawiam Korze -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
firewall+ router+ bramka vpn
Na poczatku przepraszam ...od razu powinienem był zrobic to nowym watkiem... Rozkminiam juz ten mój problem od jakiegos czasu i poddałem sie i już tu chyba przy nim osiwieje...bo nie raz juz to zestawiałem i działało ok... a teraz nie wiem gdzie lezy blad. Chodzi mi o to że po zestawieniu VPN-a z moim routerem (router, firewall, bramka vpn na 1 kompie, na debianie) moge pingnac z komputera zdalnego (klienta vpn) tylko interfejs lokalny routera ale nic poza nim...nie wiem czemu, ponizej konfig openvpn-a i sam firewall...jesli ktos cos zauwazy to bardzo prosze o opinie Dzieki raz jeszcze :) za dzielenie sie wiedze, cierpliowsc i swieze spojrzenie Pozdrawiam Maciej FIREWALL CONFIG iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward echo !WLACZANIE FIREWALLA! # # FORWARD wszystkich pakietów z sieci wewnętrznej (eth0) do internetu (ppp0) # iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT # # FORWARD wszystkich pakietów z internetu (ppp0) do sieci wewnetrznej (eth0) które sa czescia istniejacych i nawiazanych polaczen # iptables -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie do samego firewall wszystkich pakietow które sa czescia istniejacych lub nawiazanych polacz # iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT # # Wpuszczenie wszystkich polaczeń z interfejsow lokalnych # iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT # # Wlaczenie udostepniania polaczenie internetowego dla komputerow w sieci lokalnej # iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQUERADE # # Wlaczenie zdalnej administracji routerem # #iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 192.168.1.4 --dport 22 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT # # Wlaczenie servera FTP # #iptables -A INPUT -i ppp0 -p tcp -m state --state NEW -d 192.168.1.10 --dport 21 -j ACCEPT # Wlaczenie odpowiedzi na ping z internetu # iptables -A INPUT -i ppp0 -p icmp --icmp-type 8 -j ACCEPT # # Wlaczenie VPN-a # iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT -OPENVPN BRAMA CONFIG # plik konfiguracyjny serwera (bramy VPN) port 1194 proto udp dev tun ;user nobody ;group nobody comp-lzo ; ping 15 ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key #tls-server dh /etc/openvpn/certs/dh1024.pem # certyfikat wystawcy (CA) ca /etc/openvpn/certs/cacert.pem # certyfikat bramy cert /etc/openvpn/certs/gwcert.pem # klucz prywatny bramy key /etc/openvpn/certs/gwkey.pem server 192.168.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.1.0 255.255.255.0" keepalive 10 120 persist-key persist-tun #crl-verify /etc/openvpn/certs/crl.pem verb 5 log openvpn.log -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: Prosty firewall - jak to dziala
Witam > Sprawdź iptables -L -v Faktycznie teraz widać ze to dotyczy tylko interfejs loopback, dzięki -- Pozdrawiam
Re: Prosty firewall - jak to dziala
Dnia 12-12-2006, wto o godzinie 23:36 +0100, Jarek Buczyński napisał(a): > # iptables -L Sprawdź iptables -L -v Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Prosty firewall - jak to dziala
Hej Poniżej widać prostego firewalla który udostępnia klika serwisów (ssh,http,ftp,smtp). Ale jak to działa chodzi o łańcuch INPUT. Pierwsze dopasowanie jest tutaj: Firewall-1-INPUT all -- anywhere anywhere Następnie wchodzi do zdefiniowanego łańcucha Firewall-1-INPUT Kolejne tutaj: ACCEPT all -- anywhere anywhere I w tym przypadku powinien akceptować wszystko i nie iść dalej Jak to jest ze dalej sprawdza kolejne reguły.? *** # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhereicmp any ACCEPT ipv6-crypt-- anywhere anywhere ACCEPT ipv6-auth-- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353 ACCEPT udp -- anywhere anywhereudp dpt:ipp ACCEPT all -- anywhere anywherestate RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywherestate NEW tcp dpt:ssh ACCEPT tcp -- anywhere anywherestate NEW tcp dpt:http ACCEPT tcp -- anywhere anywherestate NEW tcp dpt:ftp ACCEPT tcp -- anywhere anywherestate NEW tcp dpt:smtp REJECT all -- anywhere anywherereject-with icmp-host-prohibited ***
Re: webmin i firewall
06-09-21, Rafal Szymanski <[EMAIL PROTECTED]> napisał(a): Pytanie jest, co zrobiłem źle, co powieniem zrobić aby móc używać webmina pozdrawiam -- Rafał 1. Zadajesz pytanie, na ktore w sieci jest juz duzo gotowych odpowiedzi. 2. Wpisz do configa webmina adres z ktorego chcesz sie laczyc Moim zdaniem webmin nie jest dobrym wyborem. Pozdrowienia
webmin i firewall
Witam, Zainstalowałem webmina używając apt-get. Postępując zgodnie z http://www.webmin.com/download.html oraz http://www.webmin.com/firewall.html dodałem linijkę: -A INPUT -p tcp -m tcp --dport 1 -j ACCEPT do pliku active w /var/lib/iptables zrestartowałem iptables, wystartowałem webmina z reki i niestety nie mogę zalogować się do webmina inaczej niż z localhosta. Czyli lynx https://localhost:1/ działa a https://mojeip:1/ niestety już nie. Pytanie jest, co zrobiłem źle, co powieniem zrobić aby móc używać webmina pozdrawiam -- Rafał
Re: firewall
On Fri, May 05, 2006 at 03:05:22PM +0200, Wojciech Ziniewicz wrote: > jesli cos pojdzie nie tak , reguły wrócą do normy, jesli wszystko > pojdzie OK - nacisniesz ctrl+c jak zacznie sleep'owac. Sprytne - podoba mi się :) Pozdrawiam, Adam -- Adam Byrtek / Alpha ,,Każdy ideał w ciele jest trywialny'' -- prawdy algebraiczne -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall
06-05-05, stentor <[EMAIL PROTECTED]> napisał(a): Witam! napisalem skrypt firewall ustanawiajacy zapore sieciowa z wykorzystaniem iptables+SNAT chcialbym go jakos sprawdzic bez implementowania go jeszcze na serwerze sieciowym bo jak cos nie wypali to nie chce znowu na drugi koniec miasta jechac i odkrecac wszystkiego :| napisz skrypt odpalający reguły iptables: 1. odpalenie iptables 2. sleep 60 3. flush iptables jesli cos pojdzie nie tak , reguły wrócą do normy, jesli wszystko pojdzie OK - nacisniesz ctrl+c jak zacznie sleep'owac. -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Powered by google.com | [wanna gmail?] http://silenceproject.org | :E
firewall
Witam! napisalem skrypt firewall ustanawiajacy zapore sieciowa z wykorzystaniem iptables+SNAT chcialbym go jakos sprawdzic bez implementowania go jeszcze na serwerze sieciowym bo jak cos nie wypali to nie chce znowu na drugi koniec miasta jechac i odkrecac wszystkiego :| -- Pozdrowienia, stentor mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Re: Skype firewall rules
CZEŚĆ JA PISZE Z POLSKI ZNASZ MOŻE RODZINE DZIEWIACIN ...? ODPISZ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall i Logi na konsolach
06-01-24, Tomasz Jakub Skrynnyk <[EMAIL PROTECTED]> napisał(a): > Doraźnie: >setterm -msg off Faktyczne działa :-) > (ten temat wraca co jakiś czas, jak upiorny śmiech ;)) :-) > Do automatycznego odpalania był kiedyś stary, dobry: > /etc/ppp/ppp_on_boot, ale już jest "deprecated" (i słusznie). Użyj > standardowej metody podnoszenia interfejsów. Połączenie uruchamiam tak: pppd file internet czyli jak by to miało wyglądać u mnie :) > Aby odpalić skrypt po nawiązaniu połączenia przez ppp, umieść go > (lub odwołanie do niego) w /etc/ppp/ip-up.d dzięki, zrobiłem dowiązanie i firewall startuje > I polecam gorąco `man pppd`. Heee, częściowo czytałem, ale tyle tych manuali w linuxie, że ciężko wszystkie przerobić :) >Jeśli chcesz tylko wysłać coś na inną konsole, nie musisz niczego > zmieniać w /etc/inittab. Nie twórz niepotrzebnych procesów. :) hmmm, jest trochę zbędnych procesów... chyba znów pozmieniam initab :)
Re: Firewall i Logi na konsolach
Witam! Akurat 23-01-2006 (pon) o godz. 23:50 Jarek Buczyński napisał(a): > Uruchomiłem dodatkowe konsole poprzez edycję /etc/inittab, oraz > skierowałem wszystkie logi do /dev/tty12 (dodatkowy wpis *.* Jeśli chcesz tylko wysłać coś na inną konsole, nie musisz niczego zmieniać w /etc/inittab. Nie twórz niepotrzebnych procesów. :) Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk IRC: tym0n GG: 136500 TEL: 512805797 GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall i Logi na konsolach
Witam! Akurat 24-01-2006 (wto) o godz. 01:22 Jarek Buczyński napisał(a): > Działa i jest git :-) Doraźnie: setterm -msg off (ten temat wraca co jakiś czas, jak upiorny śmiech ;)) > Jest możliwość aby jakoś połączyć to wszystko, a najlepiej żeby przy > starcie sam odpalił sie skrypt łączący z netem i później ten firewall Do automatycznego odpalania był kiedyś stary, dobry: /etc/ppp/ppp_on_boot, ale już jest "deprecated" (i słusznie). Użyj standardowej metody podnoszenia interfejsów. > (lub odwrotnie o ile tak mozna zrobić) Aby odpalić skrypt po nawiązaniu połączenia przez ppp, umieść go (lub odwołanie do niego) w /etc/ppp/ip-up.d I polecam gorąco `man pppd`. Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk IRC: tym0n GG: 136500 TEL: 512805797 GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall i Logi na konsolach
06-01-24, Wojciech Ziniewicz <[EMAIL PROTECTED]> napisał(a): > jesli chciałeś po prostu pozbyć się tych logów to wystarczyło zmienić > gadatliwość klogda. > jeśli chciałeś przekierować logi na inny terminal to włąśnie to zrobiłeś > i chyba działa :) a jeśli działa to jest git . > Działa i jest git :-) Kontynuując jeszcze ten wątek, logi mam na /dev/tty12, z linuxem łączę się przez putty Jest możliwość aby zalogować się na tą 12 i zobaczyć logi czy tylko tail -f /var/log/syslog ? Dostęp do netu mam przez ppp0. Firewalla ręcznie startuje ze skryptu, często pojawia się tam odwołanie do ppp0, którego faktyczne jeszcze nie ma i skrypt wyrzuca dużo błędów. Dopiero po połączeniu można "bezpieczne" uruchomić skrypt, ale przez chwilkę linux jest beż żadnego zabezpieczenia :) Jest możliwość aby jakoś połączyć to wszystko, a najlepiej żeby przy starcie sam odpalił sie skrypt łączący z netem i później ten firewall (lub odwrotnie o ile tak mozna zrobić) Jeżeli ktoś wie jak to najlepiej rozwiazac prosze o pradę Pozdrawiam
Re: Firewall i Logi na konsolach
Jarek Buczyński napisał(a): >Witam > >Podczas normalnej pracy na konsoli, ciągle miałem problem z logami >(np. z firewall'a), ponieważ pojawiały mi się na wszystkich konsolach > >Zrobiłem więc tak: > >Uruchomiłem dodatkowe konsole poprzez edycję /etc/inittab, oraz >skierowałem wszystkie logi do /dev/tty12 (dodatkowy wpis *.* >/dev/tty12 w /etc/syslog.conf). Zmieniłem też /etc/init.d/klog.d w >taki sposób ze klogd startuje jako klogd -c 4. Wszystko działa. > >Chciałem zapytać czy dobrze to zrobiłem (działa to chyba tak :-) ), >czy powinno się to zrobić inaczej > >Pozdrawiam > > jesli chciałeś po prostu pozbyć się tych logów to wystarczyło zmienić gadatliwość klogda. jeśli chciałeś przekierować logi na inny terminal to włąśnie to zrobiłeś i chyba działa :) a jeśli działa to jest git . -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org/[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Firewall i Logi na konsolach
Witam Podczas normalnej pracy na konsoli, ciągle miałem problem z logami (np. z firewall'a), ponieważ pojawiały mi się na wszystkich konsolach Zrobiłem więc tak: Uruchomiłem dodatkowe konsole poprzez edycję /etc/inittab, oraz skierowałem wszystkie logi do /dev/tty12 (dodatkowy wpis *.* /dev/tty12 w /etc/syslog.conf). Zmieniłem też /etc/init.d/klog.d w taki sposób ze klogd startuje jako klogd -c 4. Wszystko działa. Chciałem zapytać czy dobrze to zrobiłem (działa to chyba tak :-) ), czy powinno się to zrobić inaczej Pozdrawiam
Re: debianowy router-firewall
On 18/05/05, Bartłomiej Grasza <[EMAIL PROTECTED]> wrote: > On Wednesday 18 May 2005 22:35, Wojciech Ziniewicz wrote: > > On 18/05/05, Andrzej Dalasiński <[EMAIL PROTECTED]> wrote: > > > Wojciech Ziniewicz napisał(a): > > > >>>hmmm sprzętowy powiadasz? > > > >>>A zgadnij co jest wewnątrz takego PIXa? > > > > > > > > no wewnątrz pixa jest bardzo dużo :) > > > > przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i > > > > niepotrzebne jak dla mnie dla jednego lana. > > > > > > Taaa... i Pentium II > > > > nawet nie pentium - celeron (sic!) 400 albo 433 - nie pamiętam. http://www.routerboard.com http://www.soekris.com sprawdzone i działa. Stoi na mipsie (to pierwsze) i ma gotowego debiana pod siebie. koszt niestety troche przeraża, ale stosowane jest oryginalnie pod routery mikrotik - które moim zdaniem są calkowitym ewenementem jeśli chodzi o stosunek możliwośći do ceny... codziennie coś nowego mnie w mikrotiku zaskakuje. są zdecydowanie dobre. -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Re: debianowy router-firewall
On Wednesday 18 May 2005 22:35, Wojciech Ziniewicz wrote: > On 18/05/05, Andrzej Dalasiński <[EMAIL PROTECTED]> wrote: > > Wojciech Ziniewicz napisał(a): > > >>>hmmm sprzętowy powiadasz? > > >>>A zgadnij co jest wewnątrz takego PIXa? > > > > > > no wewnątrz pixa jest bardzo dużo :) > > > przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i > > > niepotrzebne jak dla mnie dla jednego lana. > > > > Taaa... i Pentium II > > nawet nie pentium - celeron (sic!) 400 albo 433 - nie pamiętam. O właśnie czegoś takiego szukam. Znacie jakiś producentów co produkują taki "cieniutki" sprzęt ? Nigdzie czegoś takiego podobnego do powyższego celerona 400 nie mogę znaleść. Ważne żeby nowe i na gwarancji. Pozdrawiam Bartek
Re: debianowy router-firewall
On 18/05/05, Andrzej Dalasiński <[EMAIL PROTECTED]> wrote: > Wojciech Ziniewicz napisał(a): > >>>hmmm sprzętowy powiadasz? > >>>A zgadnij co jest wewnątrz takego PIXa? > > no wewnątrz pixa jest bardzo dużo :) > > przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i > > niepotrzebne jak dla mnie dla jednego lana. > Taaa... i Pentium II nawet nie pentium - celeron (sic!) 400 albo 433 - nie pamiętam. -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Re: debianowy router-firewall
Bartłomiej Grasza napisał(a): Chcesz powiedzieć że tam jest odchudzony linux ? Spojrzałem szybko na te PIXy i tam jest jakiś sys op co zwie się: PIX Firewall operating system. Zgadza się , chodziło mi o określenie "sprzętowy" ;) Podpicowany pecet z naprawdę niezłym softem, jednak softem... Jeezu! A czemu osobna na logi i IDS? Ja miałem na myśli prosty ids (host based) monitorujący przede wszystkim ruch z netu, no i może jeszcze LAN <-> DMZ. Proponujesz to (i proxy -przypominam że bez cachowania) na osobnej maszynie ze względu na bezpieczeństwo ? Tak, jeśli skompromitują Ci FW, to skąd będziesz o tym wiedział? Jaką masz pewność, że logi na FW nie są wyczyszczone? W wielu przypadkach lepiej jest wykorzystać kilka maszyn z demobilu (biurkowe-pc: dell, compaq, ibm) klasy pII-pIII 400-800MHz z >128MB RAM lub dedykowane do tego celu pecety: http://www.iwill.pl/routery.php Dzięki wszystkm za sugestie Nie za ma co. pozdrawiam /yanek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debianowy router-firewall
Wojciech Ziniewicz napisał(a): hmmm sprzętowy powiadasz? A zgadnij co jest wewnątrz takego PIXa? no wewnątrz pixa jest bardzo dużo :) przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i niepotrzebne jak dla mnie dla jednego lana. Taaa... i Pentium II Określenie firewall dedykowany jest bardziej trafne, bo jest on tak samo sprzętowy jak mój pIII500 z debianem w domu... Pozdrawiam yanek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: debianowy router-firewall
On Wednesday 18 May 2005 17:40, Rafał Dąbrowa wrote: > Jak ktos mieszka w Poznaniu, to jutro jest ciekawy wyklad organizowany > przez CISCO. Między innymi jest mowa o PIX'ach i ipsec'u. > > Byłem na nim dzisiaj we Wrocławiu, gorąco polecam. > > Podaje link do strony z rejestracja: > > http://www.ciscopoland.pl/cisco/main.asp?oid=757 > > oficjalnie trzeba się zarejestrowac, ale nikt tego nie sprawdzał. > > Pozdrawiam > > Rafal szkoda że nie napisałeś wczoraj ... z chęcią bym się przeszedł Pozdrawiam Bartek
RE: debianowy router-firewall
Jak ktos mieszka w Poznaniu, to jutro jest ciekawy wyklad organizowany przez CISCO. Między innymi jest mowa o PIX'ach i ipsec'u. Byłem na nim dzisiaj we Wrocławiu, gorąco polecam. Podaje link do strony z rejestracja: http://www.ciscopoland.pl/cisco/main.asp?oid=757 oficjalnie trzeba się zarejestrowac, ale nikt tego nie sprawdzał. Pozdrawiam Rafal -Original Message- From: Wojciech Ziniewicz [mailto:[EMAIL PROTECTED] Sent: Wednesday, May 18, 2005 10:46 AM To: SmartList Subject: Re: debianowy router-firewall On 18/05/05, Bartłomiej Grasza <[EMAIL PROTECTED]> wrote: > On Tuesday 17 May 2005 22:23, Andrzej Dalasiński wrote: > > Bartłomiej Grasza napisał(a): > > > Ciekaw jestem co myślicie o urządzeniu o następującej konfiguracji. > > > Miałby to być debian, z jak najmniejszą ilością usług i samą konsolą > > > oczywiście, służący jako router oraz firewall. Czy uważacie że jest to > > > bezpieczne połączenie czy raczej jakiś sprzętowy lepiej się sprawdzi. > > > > hmmm sprzętowy powiadasz? > > A zgadnij co jest wewnątrz takego PIXa? no wewnątrz pixa jest bardzo dużo :) przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i niepotrzebne jak dla mnie dla jednego lana. -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Re: debianowy router-firewall
On 18/05/05, Bartłomiej Grasza <[EMAIL PROTECTED]> wrote: > On Tuesday 17 May 2005 22:23, Andrzej Dalasiński wrote: > > Bartłomiej Grasza napisał(a): > > > Ciekaw jestem co myślicie o urządzeniu o następującej konfiguracji. > > > Miałby to być debian, z jak najmniejszą ilością usług i samą konsolą > > > oczywiście, służący jako router oraz firewall. Czy uważacie że jest to > > > bezpieczne połączenie czy raczej jakiś sprzętowy lepiej się sprawdzi. > > > > hmmm sprzętowy powiadasz? > > A zgadnij co jest wewnątrz takego PIXa? no wewnątrz pixa jest bardzo dużo :) przede wszystkim ipsec i ogólnie pojęte szyfrowanie. Dużo i niepotrzebne jak dla mnie dla jednego lana. -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Re: debianowy router-firewall
On Tuesday 17 May 2005 22:23, Andrzej Dalasiński wrote: > Bartłomiej Grasza napisał(a): > > Ciekaw jestem co myślicie o urządzeniu o następującej konfiguracji. > > Miałby to być debian, z jak najmniejszą ilością usług i samą konsolą > > oczywiście, służący jako router oraz firewall. Czy uważacie że jest to > > bezpieczne połączenie czy raczej jakiś sprzętowy lepiej się sprawdzi. > > hmmm sprzętowy powiadasz? > A zgadnij co jest wewnątrz takego PIXa? > Chcesz powiedzieć że tam jest odchudzony linux ? Spojrzałem szybko na te PIXy i tam jest jakiś sys op co zwie się: PIX Firewall operating system. > > Miałby obsługiwać około 70 userów i DMZ z http, smtp, dns. > > Jeśli uważacie/stosujecie takie coś to czy macie jakiś producentów, albo > > już konkterny wybrany sprzęt który by do tego najlepiej się nadawał. > > Tak, Debian (Linux), OpenBSD, Cisco (PIXy i routery z funkcjami fw). > > > Czy takie coś będzie równie lub prawie tak samo bezpieczne jak jakiś > > sprzętowy router-firewall. Znaczenie ma również koszt zastosowanego > > rozwiązania. > > Jeśli argumentem jest cena (podziału pasma nie robiłem nigdy na sprzęcie > CISCO), > to najlepiej będzie jakiś Linux lub BSD. Polecam je również, jeśli nie > masz większego doświadczenia z pudełkowymi fw lub nie chcesz zatrudniać > specjalisty. Co do bezpieczeństwa - żaden sprzęt się sam nie > administruje, poznanie zaawansowanych funkcji ciskaczy wymaga > poświęcenia trochę czasu i podobnie jak w przypadku Linuksa czy BSD > trzeba śledzić listy dyskusyjne bo pojawiają się informacje o błędach > i podatnoościach na ataki. > > > I jeszcze jedno. Co wy na to żeby na tego serwera wrzucić jeszcze squida, > > ale nie jako cache, a wyłącznie blokowanie wybranych stron, blokowanie > > dostępu w wybranych godzinach oraz pobierania mp3 itp. Jak zmienia to > > wymagania stawiane serwerowi. Powiedzmy że ma obsłużyć łącze 2Mb/2Mb. > > Ja zrobiłbym to osobno. FW - jedna maszyna, proxy - druga, IDS+logi - > trzecia maszyna. > Jeezu! A czemu osobna na logi i IDS? Ja miałem na myśli prosty ids (host based) monitorujący przede wszystkim ruch z netu, no i może jeszcze LAN <-> DMZ. Proponujesz to (i proxy -przypominam że bez cachowania) na osobnej maszynie ze względu na bezpieczeństwo ? > > A może jakieś inne usługi na to jeszcze powrzucać aby dodatkowo > > chronić/zabezpieczyć? Snort czy inne ... > > Snort jest dobrym pomysłem. > > pozdrawiam > yanek Dzięki wszystkm za sugestie Pozdrawiam Bartek
Re: debianowy router-firewall
Dnia wto, maj 17, 2005 at 04:26:02 +0200, BartÅomiej Grasza napisaÅ: > Ciekaw jestem co myÅlicie o urzÄdzeniu o nastÄpujÄcej konfiguracji. [ciach] U mnie rolÄ takiego sprzÄtu sprawuje desktopowy dell z prockiem PII 350MHz i 256 MB pamiÄci. Dodatkowo dziaÅa tam peÅny squid, apache, poczta na ~20 kont, a procek siÄ nudzi. Polecam szczegÃlnie "zainwestowanie" w stary markowy komputer, ze wzglÄdu na stabilnoÅÄ, b.ciche wiatraki i zasilacze (komp ma przecieÅ chodziÄ 24/7). Jest to rozwiÄzanie w kaÅdy sposÃb lepsze od sprzÄtowego routera (jeÅli pogodzimy siÄ z zajÄciem wiÄkszej iloÅci miejsca i szumem wentylatora). Pozdrawiam! -- aceJacek http://olewaczers.eu.org/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
debianowy router-firewall
Hey! Ciekaw jestem co myÅlicie o urzÄdzeniu o nastÄpujÄcej konfiguracji. MiaÅby to byÄ debian, z jak najmniejszÄ iloÅciÄ usÅug i samÄ konsolÄ oczywiÅcie, sÅuÅÄcy jako router oraz firewall. Czy uwaÅacie Åe jest to bezpieczne poÅÄczenie czy raczej jakiÅ sprzÄtowy lepiej siÄ sprawdzi. ZakÅadam oczywiÅcie Åe poprawnie jest on skonfigurowany, razem z ukrywaniem sytemu operacyjnego, kolejkowaniem pakietÃw itp. itd. MiaÅby obsÅugiwaÄ okoÅo 70 userÃw i DMZ z http, smtp, dns. JeÅli uwaÅacie/stosujecie takie coÅ to czy macie jakiÅ producentÃw, albo juÅ konkterny wybrany sprzÄt ktÃry by do tego najlepiej siÄ nadawaÅ. Czy takie coÅ bÄdzie rÃwnie lub prawie tak samo bezpieczne jak jakiÅ sprzÄtowy router-firewall. Znaczenie ma rÃwnieÅ koszt zastosowanego rozwiÄzania. I jeszcze jedno. Co wy na to Åeby na tego serwera wrzuciÄ jeszcze squida, ale nie jako cache, a wyÅÄcznie blokowanie wybranych stron, blokowanie dostÄpu w wybranych godzinach oraz pobierania mp3 itp. Jak zmienia to wymagania stawiane serwerowi. Powiedzmy Åe ma obsÅuÅyÄ ÅÄcze 2Mb/2Mb. A moÅe jakieÅ inne usÅugi na to jeszcze powrzucaÄ aby dodatkowo chroniÄ/zabezpieczyÄ? Snort czy inne ... Pozdrawiam! Bartek
debian router/firewall -live
Witam, Szukam dwóch rzeczy. 1. Dobrego małego debianka najlepiej zaprojektowanego pod router/firewall (www.damnsmalllinux.org mi pod tym względem mało leży) z łatwą możliwością modyfikacji i wypalenia na CD lub 2. Jakiegoś howtosa/opisu projektu jak to zrobić za pomocą debiana. Oczywiście lfs mnie nie interesuje :) Może ktoś już coś takiego robił ? PRzede wszystkim taki debianek musi mieć w sobie webmina, shorewalla, apacha, sambe, binda i SERa ( www.iptel.org/ser ). Musi byc przytym live i obsługiwać sprzęt na zwykłych pecetach ery PIII. Obszukałem gogle ale może na liście są jacyś fani Live'ów ;] -- Pozdrawiam, Wojciech Ziniewicz Powered by google.com [wanna gmail?] [EMAIL PROTECTED] Visit #gore at irc.freenode.net
Re: firewall
Użytkownik Łukasz Wójcik napisał: Witam, mam taki skrypt firewall'a uruchomiony. [...] Twój firewall wskazuje, że nie rozumiesz działania iptables i firewall'a. Dlaczego tak sądzę??!!?? 1. Na ogół definicję ściany ogniowej zaczynasz od definicji polityk domyślnych (iptables -P łańcuch polityka) i na ogół wszystko jest blokowane. Sprowadza się to więc do zapisu: iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -P INPUT DROP Wygodniej ochronić się blokując domyślnie wszystko i odblokowując tylko to co niezbędne ;) 2. Odblokować trzeba odblokować transmisję na systemowym interfac'ie lo: iptables -I OUTPUT -o lo -j ACCEPT iptables -I INPUT -i lo -j ACCEPT 3. Nie zdefiniowałeś co zrobić transmisją już nawiązaną: iptables -A łańcuch -m state --state ESTABLISHED,RELATED -j polityka na ogół: iptables -P OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 4. Maskarada składa się de facto z przynajmniej dwóch definicji: - w tabeli filter: iptables -A FORWARD -s ip_source -p tcp --dport port_dsc -j ACCEPT i jeśli nie mapujesz portów zewnętrznych nie masz co definiować, jak to nazwałeś, 'świat do mnie'. - w tabli nat iptables -t nat -A POSTROUTING -s ip_source -j MASQUERADE Nie rozumiem dlaczego zezwalasz na transfer na tak dziwnych portach. 5. Musisz zdefiniować przynajmniej dwie pozycje dla łańcucha INPUT definiujące na których portach można 'wejść na serwer'.. - Dla klientów z sieci lokalnej. iptables -A INPUT -s ip_source -p tcp --dport port -j ACCEPT - Dla klientów z internetu. iptables -A INPUT (-s ip_source | i eth_in) -p tcp --dport port -j ACCEPT 6. Wypadałoby też zdefiniować jakie usługi są osiągalne z serwera na zewnątrz. iptables -A OUTPUT -p tcp --dport port -j ACCEPT Podany powyżej algorytm jest bardzo ogólnikowy i nie jest 'jedynie słusznym rozwiązaniem'. Jest wiele sposobów na poprawne zabezpieczenie się przed intruzami. Nie wspomniałem tu o wielu ważnych rzeczach (udp, icmp, ...). Mogłem też popełnić kilka literówek. Powodzenia i czytaj, szukaj, szukaj, czytaj ;). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall
Łukasz Wójcik napisał(a): Witam, mam taki skrypt firewall'a uruchomiony. i w momencie kiedy mam 2 ostatnie linijki aktywne, to komputery z profilami mobilnym, na których loguję się do serwera samby (to ten sam komputer na którym jest firewall) są strasznie zamulone, klient poczty thunderbird, nie potrafi wysłać poczty, ale ją bezproblemu odbiera, strony www działają normalnie. jak mogę rozbudować ten firewall aby cały świat zewnętrzny mnie nie widział, jedyne możliwe połączenie było dla ssh ale cały lokal działał ok. dzięki wielkie za wszelkie odpowiedzi różniące się od MAN IPTABLES a jednak man iptables: poszukaj haseł: established, related, tcp-reset #wejscie /sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -t filter -A INPUT -s ! 192.168.0.0/255.255.255.0 -j DROP Lepszym pomysłem jest: /sbin/iptables -P INPUT DROP ## TCP-RESET może pomóc...choć nie musi. /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 113 -d x.x.x.x \ --syn -j REJECT --reject-with tcp-reset /sbin/iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT ## a problem jest pewnie w tym miejscu: /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Choć przemśl, czy dobrym pomysłem jest wpuszczanie całegu ruchu z lanu. Przemyśl postawienie ssh na innym porcie niż standardowy, będziesz miał w logach mniej śmieci. /yanek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
firewall
Witam, mam taki skrypt firewall'a uruchomiony. i w momencie kiedy mam 2 ostatnie linijki aktywne, to komputery z profilami mobilnym, na których loguję się do serwera samby (to ten sam komputer na którym jest firewall) są strasznie zamulone, klient poczty thunderbird, nie potrafi wysłać poczty, ale ją bezproblemu odbiera, strony www działają normalnie. jak mogę rozbudować ten firewall aby cały świat zewnętrzny mnie nie widział, jedyne możliwe połączenie było dla ssh ale cały lokal działał ok. dzięki wielkie za wszelkie odpowiedzi różniące się od MAN IPTABLES #! /bin/sh insmod ip_conntrack_ftp > /dev/null 2>&1 insmod ip_nat_ftp > /dev/null 2>&1 /sbin/iptables -F -t nat /sbin/iptables -X -t nat /sbin/iptables -F -t filter /sbin/iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward #swiat tcp /sbin/iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p tcp --dport 20:1024 -j ACCEPT /sbin/iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p udp --dport 20:1024 -j ACCEPT /sbin/iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p udp --dport 5000:6000 -j ACCEPT #swiat do mnie /sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -p tcp --dport 20:1024 -j ACCEPT /sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -p udp --dport 20:1024 -j ACCEPT /sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -p udp --dport 5000:6000 -j ACCEPT #maskarada /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE #wejscie /sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -t filter -A INPUT -s ! 192.168.0.0/255.255.255.0 -j DROP -- Startuj z INTERIA.PL! >>> http://link.interia.pl/f186c -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall
On Tue, 11 Jan 2005 22:20:01 +0100, jacek <[EMAIL PROTECTED]> wrote: > > > > Witam > > ChciaÅbym przybliÅyÄ mÃj pomysÅ na firewall i poradziÄ siÄ czy jest on > dobrze skonstruowany , co jeszcze do niego powinienem dodaÄ. Wiem, Åe jest > on prosty i maÅo skuteczny ale od czegoÅ trzeba zaczÄÄ. > > Pozdrawiam i z gÃry dziÄkujÄ za rady i pomoc - Jacek > ipchains ? -- Pozdrawiam, Wojciech Ziniewicz Powered by google.com [EMAIL PROTECTED] #gg 6583979
firewall
Witam Chciałbym przybliżyć mój pomysł na firewall i poradzić się czy jest on dobrze skonstruowany , co jeszcze do niego powinienem dodać. Wiem, że jest on prosty i mało skuteczny ale od czegoś trzeba zacząć. Pozdrawiam i z góry dziękuję za rady i pomoc - Jacek Sieć wygląda w następujący sposób dsl(2Mbi/s)->eth0-debian-eth1->switch->LAN(adresy prywatne). #Część wstępna poniżej: ipchains -F output ipchains -F input #Część zabezpieczająca serwer i sieć od zewnątrz (z internetu): ipchains -A input -p all -s 0/0 –d 0/0 0:65535 –j DENY –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 80 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 443 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 220 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 143 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 109 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 110 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 21 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 25 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 22 –j ACCEPT –i eth0 ipchains –A input –p tcp –s 0/0 – d 82.53.44.31/255.255.255.248 53 –j ACCEPT –i eth0 #Część zabezpieczająca serwer od wewnątrz (z sieci LAN): ipchains -A input -p all -s 0/0 –d 0/0 0:65535 –j DENY –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 80 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 443 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 220 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 143 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 109 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 110 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 21 -j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 25 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 22 –j ACCEPT –i eth1 ipchains –A input –p tcp –s 192.168.1.1/255.255.255.0 – d 0/0 53 –j ACCEPT –i eth1 Część uniemożliwiająca wejście na wybrane strony z LAN-u: ipchains -A input –s 192.168.1.1/255.255.255.0 –d www.porno.pl -j DENY i eth1 ipchains -A input –s 192.168.1.1/255.255.255.0 –d www.sex.pl -j DENY i eth1 -- Startuj z INTERIA.PL!!! >>> http://link.interia.pl/f1837
Re: Skype firewall rules
Friday, September 24, 2004 (11:04:55 AM) Robert Golovniov wpadł(a) na genialną myśl: >RG> Witam! RG> Czy ktos moglby podpowiedziec, jak skonfigurowac firewall, by mogl RG> dzialac program Skype? jesli nie blokujesz polaczen wychodzacych to wcale:) -- Radosław Maliborski [ There are people who want a peace on Earth, a piece of Earth or just to piss on Earth... ]
Skype firewall rules
Witam! Czy ktos moglby podpowiedziec, jak skonfigurowac firewall, by mogl dzialac program Skype? -- -=Robert & Beata Golovniov | Lviv, Ukraine=- ~~~ "Taste and see that Jehovah is good." - Psalm 34:8 PGP key at: https://www.biglumber.com/x/web?qs=golovniov%40interia.pl ~~~
Re: firewall by www
On Wed, 7 Jul 2004 11:01:36 +0200 "Wojtek" <[EMAIL PROTECTED]> wrote: > mozesz przeciez tak skonfigurowac, zeby byl widoczny tylko dla kilku > adresow wewnatrz sieci... Pozatym zawsze mozna wylaczyc usluge. Ja > osobiscie wole shorewalla recznie konfigurowac - jakos nie lubie > webmina. > > Pozdrowienia > > Wojtek > > > a cos bez webmina - slyszalem zarzuty, ze jest ponoc dziurawy - > > ale mozliwe ze to tylko plotki > > > > pozdrawiam - iwi > > Kilka dni nie używałem komputera i co się okazało?? debian-user-polish zmienił swoją politykę odnośnie pola nagłówka Reply-To: ? A odpowiedzi pisze się nad cytowanym tekstem? Nie wspominając o cytowaniu całości wątku... Zanim następnym razem napiszą Panowie na listę dyskusyjną, proszę się douczyć z zakresu netykiety (w google wpisać 'netykieta' bez cudzysłowów). Przecież takiego wątku sie czytać nie da. -- _ _ Pozdrawiam,__ _ |_)|_)o _ _|_ .__ _. / \ / o _| _ ._ |\ ||_ | ._ | | | |(/_ |_ | \/(_|(_| | (|/ \_|(_|(/_| | \||_ | o |_)| Paweł Pietryga/ _| \__ GG: 4595269 | JID: [EMAIL PROTECTED]
AW: AW: firewall by www
mozesz przeciez tak skonfigurowac, zeby byl widoczny tylko dla kilku adresow wewnatrz sieci... Pozatym zawsze mozna wylaczyc usluge. Ja osobiscie wole shorewalla recznie konfigurowac - jakos nie lubie webmina. Pozdrowienia Wojtek > a cos bez webmina - slyszalem zarzuty, ze jest ponoc dziurawy - > ale mozliwe ze to tylko plotki > > pozdrawiam - iwi > > > shorewall przez webmina > > > > > -Ursprüngliche Nachricht- > > > Von: iwi [mailto:[EMAIL PROTECTED] > > > Gesendet: Mittwoch, 7. Juli 2004 10:14 > > > An: debian-user-polish@lists.debian.org > > > Betreff: firewall by www > > > > > > > > > ello all! > > > > > > moj szef przed chwilka powiedzial ze firewall na iptables jest > > > trudny w konfiguracji - no moze ma racje - ale przeciez mozna do > > > tego uzyc jakiegos narzedzia do konfiguracji. > > > > > > poszukuje wiec jakiegos fajnego narzedzia do obslugi firewall > > > (iptables) za pomoca https. > > > > > > > > > > > > pozdrawiam - iwi > > > > > > > > > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] > > > > > > -- > > Ktos chcialby Cie poznac... >>> http://link.interia.pl/f180a > > > > > > > >
Re: AW: firewall by www
a cos bez webmina - slyszalem zarzuty, ze jest ponoc dziurawy - ale mozliwe ze to tylko plotki pozdrawiam - iwi > shorewall przez webmina > > > -Ursprüngliche Nachricht- > > Von: iwi [mailto:[EMAIL PROTECTED] > > Gesendet: Mittwoch, 7. Juli 2004 10:14 > > An: debian-user-polish@lists.debian.org > > Betreff: firewall by www > > > > > > ello all! > > > > moj szef przed chwilka powiedzial ze firewall na iptables jest > > trudny w konfiguracji - no moze ma racje - ale przeciez mozna do > > tego uzyc jakiegos narzedzia do konfiguracji. > > > > poszukuje wiec jakiegos fajnego narzedzia do obslugi firewall > > (iptables) za pomoca https. > > > > > > > > pozdrawiam - iwi > > > > > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > -- > Ktos chcialby Cie poznac... >>> http://link.interia.pl/f180a > > >
AW: firewall by www
shorewall przez webmina > -Ursprüngliche Nachricht- > Von: iwi [mailto:[EMAIL PROTECTED] > Gesendet: Mittwoch, 7. Juli 2004 10:14 > An: debian-user-polish@lists.debian.org > Betreff: firewall by www > > > ello all! > > moj szef przed chwilka powiedzial ze firewall na iptables jest > trudny w konfiguracji - no moze ma racje - ale przeciez mozna do > tego uzyc jakiegos narzedzia do konfiguracji. > > poszukuje wiec jakiegos fajnego narzedzia do obslugi firewall > (iptables) za pomoca https. > > > > pozdrawiam - iwi > >
firewall by www
ello all! moj szef przed chwilka powiedzial ze firewall na iptables jest trudny w konfiguracji - no moze ma racje - ale przeciez mozna do tego uzyc jakiegos narzedzia do konfiguracji. poszukuje wiec jakiegos fajnego narzedzia do obslugi firewall (iptables) za pomoca https. pozdrawiam - iwi
Re[2]: firewall
Friday, June 4, 2004 (2:35:42 PM) /Wojciech Ziniewicz/ wpadł(a) na genialną myśl: > >> > #samba >> > >> > $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s >> > 192.168.1.0/24 -j ACCEPT >> > >> > $IPT -A INPUT -p udp -m udp --dport 137:139 -s >> > 192.168.1.0/24 -j ACCEPT >> nie polecam otwierac samby na swiat, jesli tylko dla >> lokalu i tak masz tam policy ACCEPT WZ> Mialem kiedys mdk z samba otwarta na swiat. Do owej samby WZ> co okolo 0.3 s podlaczal sie jakis host (przewaznie z WZ> wloch) i chcial wykonac jakas funkcje (byly to bardzo WZ> rozne dziwne nazwy) . Po jakims czasie w systemie haslo na WZ> roota zmienialo sie SAMO. po przejzeniu logow i .bashrc WZ> okazalo sie ze user samby (po uprzedfnim zalogowaniu sie WZ> na niego w wloch albo czegos takiego) wykonal na sambie WZ> jakis kawalek swojego kodu i przjeal roota. potem troche WZ> namiachal w systemie , tak ze fsck przemielilo wszystko i WZ> wrzucilo do lost+found. Jakas masakra. wersja samby byla WZ> X..27a. Po zupgrejdowaniu do wyzszej wesji mialem to samo. WZ> Jakas masakra.. ale chyba tylko mendrejk tak ma. A poco miales sambe wystawiona na swiat? Poza tym jesli juz bylo to konieczne, to przeciez mozna bylo wprowadzic restrykcje odnosnie dostepu do niej czy to w samej sambie, czy tez przy pomocy firewalla. W sumie jak dla mnie, to sam prosiles sie o klopoty:D -- Radosław Maliborski [ There are people who want a peace on Earth, a piece of Earth or just to piss on Earth... ]
Re: firewall
> > #samba > > > > $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s > > 192.168.1.0/24 -j ACCEPT > > > > $IPT -A INPUT -p udp -m udp --dport 137:139 -s > > 192.168.1.0/24 -j ACCEPT > nie polecam otwierac samby na swiat, jesli tylko dla > lokalu i tak masz tam policy ACCEPT Mialem kiedys mdk z samba otwarta na swiat. Do owej samby co okolo 0.3 s podlaczal sie jakis host (przewaznie z wloch) i chcial wykonac jakas funkcje (byly to bardzo rozne dziwne nazwy) . Po jakims czasie w systemie haslo na roota zmienialo sie SAMO. po przejzeniu logow i .bashrc okazalo sie ze user samby (po uprzedfnim zalogowaniu sie na niego w wloch albo czegos takiego) wykonal na sambie jakis kawalek swojego kodu i przjeal roota. potem troche namiachal w systemie , tak ze fsck przemielilo wszystko i wrzucilo do lost+found. Jakas masakra. wersja samby byla X..27a. Po zupgrejdowaniu do wyzszej wesji mialem to samo. Jakas masakra.. ale chyba tylko mendrejk tak ma.
Re: firewall
> Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11 Cześć > $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT upierasz się przy odblokowaniu wszystkich portów dla lanu? > $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Na OUTPUT masz policy ACCEPT wiec powyższe jest bez sensu... > $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0 -j SNAT --to $ SWIAT co upraszczamy do: $IPT -t nat -A POSTROUTING -s $LAN -j SNAT --to $SWIAT > #wpuszczamy ping > $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT > $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT > > $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT > > $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT > $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT -m state --state NEW Znow bezsensowne regolki dla OUTPUTa... > #samba > > $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT > > $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT nie polecam otwierac samby na swiat, jesli tylko dla lokalu i tak masz tam policy ACCEPT > ##Zabezpieczenie przez powodzią SYN (Syn-flood): > > $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT dupa, wczesniej otworzyles FORWARD dla ESTABLISHED,RELATED masz juz sflodowaą sieć. > ##Skaner portów Furtive: > > $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit > 1/s > -j ACCEPT jw. > ##Ping of death: > > $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j > ACCEPT jw. > /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT > > /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport > 25,53,110 -m state --state NEW -j ACCEPT > e przemysl calosc jeszcze raz, polecam `man iptables` > echo 1 > /proc/sys/net/ipv4/ip_forward > > echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route ? > I nie wiem gdzie zrobiłem blad. Za wszelką pomoc z góry dziękuje. sporo tego... sprobuj poszukac informacji w man, www.netfilter.org i przez googla. pozdrawiam y.
Re: firewall
Właśnie czytałem o tym, ze jak wszystko wpuszcze to juz dla calego Lanu wszystko powinno działać, zrobie wedle wskazówek i zobacze jakie efekty. PS. a jakie wpisać limity w celu zabezpieczenia się przed floodowanie? Dzieki za wskazowki adam.
Re: firewall
On Saturday 29 of May 2004 00:50, adam wrote: > Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11 > > Ograniczyć możliwość korzystania z sieci > > do tego, żeby działał mu dns i poczta, zrobiłem takiego firewalla: > > #!/bin/bash > > IPT=/sbin/iptables > > ETHOUT=eth0 > > ETHLAN=eth1 > > SWIAT=zewnetzne IP > > LAN=192.168.1.0/24 > > TCP_IN_ALLOW=21,25,53,80,110,3128,8000 > > UDP_IN_ALLOW=53,33501 > > > > $IPT -F 3 kolejne linie nie potrzebne, gdyż załatwia je ta wyżej > $IPT -F INPUT > $IPT -F OUTPUT > $IPT -F FORWARD > > $IPT -F -t nat > > $IPT -F -t mangle > > $IPT -P INPUT DROP > > $IPT -P FORWARD DROP > > $IPT -P OUTPUT ACCEPT > > > > $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT > > ## uslugi, ktore wpuszczamy. > > $IPT -A INPUT -i $ETHOUT -p tcp -j ACCEPT -m state --state NEW -m multiport > --dport $TCP_IN_ALLOW > > $IPT -A INPUT -i $ETHOUT -p udp -j ACCEPT -m state --state NEW -m multiport > --dport $UDP_IN_ALLOW > > > > #statefull-inspection > > $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A FORWARD -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -A FORWARD -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT kolejne 3 linie nie potrzebne, bo politykę OUTPUT masz na ACCEPT: > $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT > > $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0 -j SNAT --to $ SWIAT > > > > #wpuszczamy ping > > $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT te 3 również nie potrzebne: > $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT a w tej poniżej -d 0.0.0.0/0 nie ma najmniejszego sensu, bo jest to wartość domyślna > $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT > $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT > > > # wypuszczamy w swiat wszystko: znowu zbędna linia: > $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT -m state --state NEW > > #samba > > $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT > > $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT > > > > ##Zabezpieczenie przez powodzią SYN (Syn-flood): za duży limit jak na mój gust: > $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT > > ##Skaner portów Furtive: > > $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s > -j ACCEPT > > ##Ping of death: > > $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j > ACCEPT > > wyżej masz taki oto wpis: $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT czyli wpuszczasz na serwer wszystko, oprócz interfejsu zewnętrznego; tak więc dalsze wpisy dla łańcucha INPUT dla interfejsu lanowego nie przyniosą żadnego skutku > /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT > > /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport > 25,53,110 -m state --state NEW -j ACCEPT > > /sbin/iptables -A INPUT -s 192.168.1.11 -p udp --dport 53 -m state --state > NEW -j ACCEPT w poniższej linijce błąd - powinnieneś wpuszczaś z portu zrodlowego, czyli zamiast --dport podaj --sport > /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -d > 192.168.1.11 -j ACCEPT a tutaj ok: > /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -s > 192.168.1.11 -j ACCEPT > -- pozdrawiam
firewall
Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11 Ograniczyć możliwość korzystania z sieci do tego, żeby działał mu dns i poczta, zrobiłem takiego firewalla: #!/bin/bash IPT=/sbin/iptables ETHOUT=eth0 ETHLAN=eth1 SWIAT=zewnetzne IP LAN=192.168.1.0/24 TCP_IN_ALLOW=21,25,53,80,110,3128,8000 UDP_IN_ALLOW=53,33501 $IPT -F $IPT -F INPUT $IPT -F OUTPUT $IPT -F FORWARD $IPT -F -t nat $IPT -F -t mangle $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT ## uslugi, ktore wpuszczamy. $IPT -A INPUT -i $ETHOUT -p tcp -j ACCEPT -m state --state NEW -m multiport --dport $TCP_IN_ALLOW $IPT -A INPUT -i $ETHOUT -p udp -j ACCEPT -m state --state NEW -m multiport --dport $UDP_IN_ALLOW #statefull-inspection $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0 -j SNAT --to $ SWIAT #wpuszczamy ping $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT # wypuszczamy w swiat wszystko: $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT -m state --state NEW #samba $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT ##Zabezpieczenie przez powodzią SYN (Syn-flood): $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT ##Skaner portów Furtive: $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT ##Ping of death: $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport 25,53,110 -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.11 -p udp --dport 53 -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -d 192.168.1.11 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -m multiport --dport 25,53,110 -s 192.168.1.11 -j ACCEPT Tutaj inni userzy echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/tcp_ecn Innych userów traktuje w inny sposób, dla każdego z nich Oddzielne rególki ale zależy mi, żeby temu odciąć wszystko oprócz poczty i dns`ow I nie wiem gdzie zrobiłem blad. Za wszelką pomoc z góry dziękuje. Pozdrawiam Adam.
Re: [Firewall] Multiple interfaces
Yep, it's already in the latest beta(beta2). The next beta will also have load balanced masquerading. -arno Lth wrote: Is Arno planning use multiple internet (not LAN) interfaces in his firewall? Like this: http://linux.com.lb/wiki/index.pl?node=Load%20Balancing%20Across%20Multiple%20Links ___ Firewall mailing list [EMAIL PROTECTED] https://lists.btito.net/mailman/listinfo/firewall
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, > Mi to bardzo przeszkadza. na wiele stron na prawde nie da sie > wejsc, jest z reguly napisane ze jest Forbidden albo ze You do not > have acces on this server. To jest bo jednak juz 1 nie dzialajacy zgadzam sie z toba, ale jesli z sieci jakiejs przychodzi mi spam, przychodza wirusy to nie ma innej rady. Przeciez nie ma blokad (tzn ja nie robie) hostow "ot tak" bo mi sie tak podoba. Nie w tym rzecz. To ze skads przychodzi spam albo wirusy to nic innego jak zawirusowanie drugiej strony. Na to juz poradzic nic sie nie da. Sami sa sobie winni. Jesli jestes u ISP z ktorego jest generowany spory ruch z wirusami - nie dziw sie ze na niektore serwisy nie da sie wejsc. Powiedz adminowi by zaczal skanowac sieci w poszukiwaniu wirusow, niech blokuje komputery bez litosci - jedynie w ten sposob da sie te sytuacje unormnowac. > URL to wkurza bardzo. Na przyklad shorewall.net - nigdy mi nie > wchodzi. Tepsa powinna cos z tym zrobic. Dla przykladu, na wieksza teletepsa niewiele moze w tej kwestii, to nie od niej de fakto to zalezy. Cale hakierjstwo czy jak to G.. nazwac wzielo sie - podejrzewam - z dawnych czasow - gdzie kazdy wdzwanial sie modemcem do sieci i byl praktycznie bezkarny bo tepsa nie udostepniala logow, jedynie na wniosek prokuratury - a i to nie zawsze. > czesc hubow na DC ++ tez sie nie da wejsc bo jest po prostu > connection refused. Jak widac Polska ma nawet internet wadliwy. > A juz sie zaczelo robic normalniej. robi sie normalniej, i bedzie coraz normalniej, ale potrzba na to czasu i lepszego "uswiadamiania" userow w LANach, wprowadzania szyfrowanych polaczen, ochrony antyspamowej, proxowania i snifowania ruchu. Duze wyzwanie przed administratorem i nie proste zadanie przy wiekszych sieciach. -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Mi to bardzo przeszkadza. na wiele stron na prawde nie da sie wejsc, jest z reguly napisane ze jest Forbidden albo ze You do not have acces on this server. To jest bo jednak juz 1 nie dzialajacy URL to wkurza bardzo. Na przyklad shorewall.net - nigdy mi nie wchodzi. Tepsa powinna cos z tym zrobic. Dla przykladu, na wieksza czesc hubow na DC ++ tez sie nie da wejsc bo jest po prostu connection refused. Jak widac Polska ma nawet internet wadliwy. A juz sie zaczelo robic normalniej.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, > niedogodnosci. Obecnie wszystko chyba jest w normie ( jak to w Polsce to dlaczego Portsentry na przyklad blokuje co jakis czas kogos z tej puli ? 80.xxx, 83.xxx i podobne to 90% zablokowanych adresow. Ja rozumiem i wiem ze to rozne smieci u ludzi na komputerach, i nie jest to de fakto wina tepsy. Ale nie moge sobie pozwolic na to by jakies smieci (juz i tak w sporej czesci bedace w lanie) nadal do lanu trafialy. I za norme tego nie uwazam. Ciekawe ze zaden z adresow z puli ProFuturo, Crowleya czy innych nigdy nie trafia na taka liste ? Notabene: ma ktos jakis pomysl na wirusy szalejace w lan miedzy kompami ? czy np do snorta da sie podpiac jakies fajne regulki do wykrywania roznego rodzaju badziewia ? sa gdzies jakies bazy dostepne ? BTW. "Dzieki" takim wirusom serwer pocztowy ktory jest na tym samym IP co jeden z LANow trafia na liste spamerska ... w ... Co prawda ostatnio bardzo zadko bo tepie i robie pogrom w lanie - co chwile ktos ma zablokowany komp z powodu wirusow - ludzie juz zdarzyli sie nauczyc co to jest Antywirus ze potrzebne sa nowe bazy, co to jest personal firewal, update systemu itp. - praktycznie tylko dzieki temu. Jednak wiele z wirusow przechodzi niezauwazonych siejac spam - nie moge tego zniesc a nie mam jakos pomyslow. >> portsentry i inne zabawki maja co robic czasem :] > hmm > blokowanie tak ale chyba odwet, o ile o tym tu mowa, przeciwko komuś kto > i tak juz jest przegranym bo nabył wejście na "super strokę sexy > emule" nie ma sensu. zgadzam sie w 100%. przy czym nie jest to rodzaj odwetu a swego rodzaju zabezpieczenie. Bany sa sciagane raz na jakis czas (aczkolwiek dosc dlugi). -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Monday 17 of May 2004 12:01, Marcin wrote: >Witajcie, > >>>czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako >>>numery nizsze itp. w necie, co niesie za soba niewpuszczanie na >>>stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? > >popatrz co to za pula adresow i do kogo nalezy :-) >w sumie whois wiele nie chce mowic wpisujac adres: > whois 83.16.106.18 > > chodzi o tepsiarstwo, neostrady i inne ... > sporo lamerskich i nie tylko atakow mozna zauwazyc z tych adresow. 8<-- Kiedys ta pula adresów była podobno właśnie wykorzystywana do różnych rodzaji ataków. Po tym jak tepsa stała sie "posiadaczem" podobno niektórzy ludzie będacy w posiadaniu neo bodź DSL mieli z tego powodu niedogodnosci. Obecnie wszystko chyba jest w normie ( jak to w Polsce oczywiście ) (instytucje które blokowały dostep z 83... do swoich servisów / sieci zostały podobno powiadomione o fakcie nabycia przez tepse 83... To ze obecnie z "tych" adresów mozna zauważyć jakieś "takie dziwne akcje" to nie wina tepsy tylko głupoty ludzi, którzy rejestrują się i ssaja wszelkiego rodzaju trojany, backdory itp ze stron "superftp" albo "tutaj extra laski i kaza" > Juz nie raz wysylalem listy do abuse - ba na niektore nawet > odpowiedzieli :) na 2 nawet zareagowali :] to juz bylem pod wrazeniem > szybkosci - zaledwie tydzien :D no dwa tygodnie to chyba i tak się wysilali ;) > portsentry i inne zabawki maja co robic czasem :] hmm blokowanie tak ale chyba odwet, o ile o tym tu mowa, przeciwko komuś kto i tak juz jest przegranym bo nabył wejście na "super strokę sexy emule" nie ma sensu. -- Paweł Bielecki E-mail: pawciobiel(at)kozmianet(dot)kom(dot)pl JID: pawciobiel(at)jabber(dot)org
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Witajcie, >>czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako >>numery nizsze itp. w necie, co niesie za soba niewpuszczanie na >>stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? popatrz co to za pula adresow i do kogo nalezy :-) w sumie whois wiele nie chce mowic wpisujac adres: whois 83.16.106.18 chodzi o tepsiarstwo, neostrady i inne ... sporo lamerskich i nie tylko atakow mozna zauwazyc z tych adresow. Juz nie raz wysylalem listy do abuse - ba na niektore nawet odpowiedzieli :) na 2 nawet zareagowali :] to juz bylem pod wrazeniem szybkosci - zaledwie tydzien :D portsentry i inne zabawki maja co robic czasem :] -- Pozdrawiam, Marcin.
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
Użytkownik /Wojciech Ziniewicz/ napisał: czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego? podobno duzo "chakerow" jak to ktos napisal korzystalo z takich IP ;) gartus
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Sun, 16 May 2004 13:49:09 +0200 Piotr Stefański <[EMAIL PROTECTED]> wrote: > /Wojciech Ziniewicz/ wrote: > > > www.shorewall.net > > > > a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. > > TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach > > ipfwadm albo cos takeigo) > > Zgoda - lepiej się nauczyć samemu, z jednym zastrzeżeniem: NIE iptables > i ipchains (z ipfwadm), tylko iptables LUB ipchains (z ipfwadm) ze > wskazaniem na iptables jako nowsze, lepsze, przejrzystsze, itd. Dziwne. Moj shorewall uzywa iptables i ipchains a poza tym laduje w cholere jakis starych jak i nowych modulow. Ale tak na prawde to polecam shorewalla - jest po prostu banalny w obsludze - nawet z webmina nie trzeba korzystac bo wszystko jest (w zasadzie) w pliku "rules". niestety mam szanowna neostrade i mi strona shorewall.net nie wchodzi. A wlasnie. .. czytalem gdzies w CHipie ze numery IP 83.x.x.x sa traktowane jako numery nizsze itp. w necie, co niesie za soba niewpuszczanie na stronki i nie-rutowanie pakietow... wie ktos moze dlaczego?
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
/Wojciech Ziniewicz/ wrote: www.shorewall.net a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach ipfwadm albo cos takeigo) Zgoda - lepiej się nauczyć samemu, z jednym zastrzeżeniem: NIE iptables i ipchains (z ipfwadm), tylko iptables LUB ipchains (z ipfwadm) ze wskazaniem na iptables jako nowsze, lepsze, przejrzystsze, itd. -- PS
Re: firewall i problem z instalacja jadra linux (woody) (dlugie)
On Sat, 15 May 2004 18:02:21 +0200, Cezary Marchel <[EMAIL PROTECTED]> wrote: Witaj debian-user-polish! Mam dwa sprawy: 1.Uzywam debiana jako router do rozdzielenia sygnalu internetowego w domu. Czy mozecie mi polecic firewall do zastosowan domowych? A moze nie ma takiego podzialu i jest kilka poprostu dobrych firewall'i... I jeszcze jedno-czy moge pozwolic sobie aby firewall byl zainstalowany tylko na routerze czy ma byc na kazdym komputerze? Moj router jest za natem provider'a wiec moj desktop jest za podwojnym natem... 2.Pisalem juz wczesniej o problemie z instalacja jaja. To wyglada tak ze kompiluje jadro linux 2.4.26 na moim desktopie (athlon 2000xp+) i przezucam go na router(pentium 200 mmx), na p200 wpisuje cos takiego: $ dpkg -i kernel-image-2.4.26_p200.2.4.20+nfs_i386.deb i otrzymuje to co jest w zalaczniku. jadro bylo kompilowane w ten sposob(jako su): $ make mrproper $ make clean $ make xconfig $ make-kpkg clean $ make-kpkg --revision=786:p200.2.4.20+nfs kernel_image to niestety nie skutkuje :( czy moglby mi ktos pomoc? www.shorewall.net a tak najlepiej to sobie samemu zrobic firewalla z FAQuw na necie. TRzebia sie nauczyc iptables i ipchains (albo na starszych jadrach ipfwadm albo cos takeigo)
firewall i problem z instalacja jadra linux (woody) (dlugie)
Witaj debian-user-polish! Mam dwa sprawy: 1.Uzywam debiana jako router do rozdzielenia sygnalu internetowego w domu. Czy mozecie mi polecic firewall do zastosowan domowych? A moze nie ma takiego podzialu i jest kilka poprostu dobrych firewall'i... I jeszcze jedno-czy moge pozwolic sobie aby firewall byl zainstalowany tylko na routerze czy ma byc na kazdym komputerze? Moj router jest za natem provider'a wiec moj desktop jest za podwojnym natem... 2.Pisalem juz wczesniej o problemie z instalacja jaja. To wyglada tak ze kompiluje jadro linux 2.4.26 na moim desktopie (athlon 2000xp+) i przezucam go na router(pentium 200 mmx), na p200 wpisuje cos takiego: $ dpkg -i kernel-image-2.4.26_p200.2.4.20+nfs_i386.deb i otrzymuje to co jest w zalaczniku. jadro bylo kompilowane w ten sposob(jako su): $ make mrproper $ make clean $ make xconfig $ make-kpkg clean $ make-kpkg --revision=786:p200.2.4.20+nfs kernel_image to niestety nie skutkuje :( czy moglby mi ktos pomoc? pozdrawiam (Reading database ... 25214 files and directories currently installed.) Preparing to replace kernel-image-2.4.26 786:p200.2.4.20+nfs (using kernel-image-2.4.26_p200.2.4.20+nfs_i386.deb) ... Unpacking replacement kernel-image-2.4.26 ... Setting up kernel-image-2.4.26 (p200.2.4.20+nfs) ... depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/crypto/crypto_null.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/crypto/deflate.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/crypto/md4.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/block/loop.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/input/input.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/input/uinput.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/arcnet/arcnet.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/arcnet/rfc1051.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/bsd_comp.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/dummy.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/plip.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/ppp_async.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/ppp_deflate.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/ppp_generic.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/net/slhc.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/parport/parport_pc.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/parport/parport_serial.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/acm.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/dc2xx.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/hid.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/host/uhci.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/host/usb-ohci.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/host/usb-uhci.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/scanner.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/drivers/usb/serial/usbserial.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/fs/coda/coda.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/fs/nls/nls_cp1250.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/fs/nls/nls_cp852.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/fs/nls/nls_iso8859-2.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/fs/nls/nls_utf8.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/net/ipv4/netfilter/ipt_REDIRECT.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/net/ipv4/netfilter/ipt_helper.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/net/ipv4/netfilter/iptable_filter.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/net/ipv4/netfilter/iptable_mangle.o depmod: *** Unresolved symbols in /lib/modules/2.4.26/kernel/net/ipx/ipx.o There was a problem running depmod. This may be benign, (You may have versioned symbol names, for instance). Or this could be an error. In any case, since depmod is run at install time, we could just defer running depmod Would you like to abort now? [Yes] dpkg: error processing kernel-image-2.4.26 (--install): subprocess post-installation script returned error exit status 1 Errors were encountered while processing: kernel-image-2.4.26
Re[2]: niedzialajacy firewall
Monday, May 3, 2004 (3:11:59 PM) Dr_M wpadł(a) na genialną myśl: >D> Dnia pon 3. maja 2004 12:39, kius napisał: >> On Monday 03 of May 2004 01:20, marcin wrote: >> > iptables -P INPUT DROP >> > iptables -A INPUT -i ! eth2 -j ACCEPT >> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> > >> > >> > po czym sprawdzam sobie porty na adresie przypisanym do eth2: >> > >> > nmap 192.168.1.23 >> >> A skÄ d skanujesz ? Z hosta na ktĂłrym tego "firewalla" uruchomiĹeĹ ? Bo >> jeĹli tak, to wyniki skanowania nie powinny dziwiÄ, dostÄp dla lo masz >> otwarty. D> Witaj!! D> To co napisales to tak na dobra sprawe nie robi nic. Bo najpierw w pierwszej D> linijce wszystko zabraniasz a pozniej wszystko pozwalasz;-). Wiec pytam sie, D> co przez to chciales osiagnac??? Z powyzszego wywnioskowac moge ze wcale nie D> rzoumiesz zasady iptables, ani jakiegokolwiek filtru pakietow. Poza tym, z D> powyzszych regulek wynika ze mozesz miec tez problem z polaczeniem sie na D> naktore serwery ftp, bo nei masz pozwolenia na pakiety NEW. Warto je czasem D> dodac. D> A efekt pracy nmapa??? No coz, pierwsza regulka przepuszcza wsystko.. i do D> drugiej w sumie nigdy nie dojdzie iptables, wiec to co napisales, to wcale D> nie spelnia swojej roli. D> Pozdrawiam D> Dr_M Nie chce tu bronic umiejetnosci "problemodawcy", ale jak dla mnie te regulki sa sa calkiem poprawne biorac pod uwage to, co chcial osiagnac... Problemem moze byc faktycznie tylko to, ze skanowal z tego kompa, na ktorym ma firewall'a. -- Radosław Maliborski [ There are people who want a peace on Earth, a piece of Earth or just to piss on Earth... ]
Re: niedzialajacy firewall
Monday, May 3, 2004 (1:20:03 AM) marcin wpadł(a) na genialną myśl: >m> ello! m> uruchamiam sobie firewalla takimi oto regolkami (wynajdlem ten sposob m> na debian.black.pl - wiec wydaje mi sie, ze powinien dzialac) : m> iptables -P INPUT DROP m> iptables -A INPUT -i ! eth2 -j ACCEPT m> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT m> po czym sprawdzam sobie porty na adresie przypisanym do eth2: m> nmap 192.168.1.23 m> i dostaje: m> Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-03 01:16 CEST m> Interesting ports on 192.168.1.23: m> (The 1647 ports scanned but not shown below are in state: closed) m> PORT STATE SERVICE m> 22/tcp open ssh m> 25/tcp open smtp m> 53/tcp open domain m> 80/tcp open http m> 110/tcp open pop3 m> 111/tcp open rpcbind m> 113/tcp open auth m> 199/tcp open smux m> 648/tcp open unknown m> /tcp open krb524 m> 6346/tcp open gnutella m> /tcp open abyss m> Nmap run completed -- 1 IP address (1 host up) scanned in 4.760 seconds m> czy dzieki w/w reogolkom - bez regolek otwierajacych porty tak m> powinien wygladac wynik skanowania portow ?? m> jezeli ten sposob jest beee jak w takim razie moge zamknac wszystkie m> porty i pootwierac sobie te, ktore potrzebuje. m> pozdrawiam - iwi A co daje powiedzmy "telnet 25" odpalone z innego kompa, nie podlaczonego z firewallem przez eth2? -- Radosław Maliborski [ There are people who want a peace on Earth, a piece of Earth or just to piss on Earth... ]
Re: niedzialajacy firewall
Dnia pon 3. maja 2004 12:39, kius napisał: > On Monday 03 of May 2004 01:20, marcin wrote: > > iptables -P INPUT DROP > > iptables -A INPUT -i ! eth2 -j ACCEPT > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > > po czym sprawdzam sobie porty na adresie przypisanym do eth2: > > > > nmap 192.168.1.23 > > A skÄ d skanujesz ? Z hosta na ktĂłrym tego "firewalla" uruchomiĹeĹ ? Bo > jeĹli tak, to wyniki skanowania nie powinny dziwiÄ, dostÄp dla lo masz > otwarty. Witaj!! To co napisales to tak na dobra sprawe nie robi nic. Bo najpierw w pierwszej linijce wszystko zabraniasz a pozniej wszystko pozwalasz;-). Wiec pytam sie, co przez to chciales osiagnac??? Z powyzszego wywnioskowac moge ze wcale nie rzoumiesz zasady iptables, ani jakiegokolwiek filtru pakietow. Poza tym, z powyzszych regulek wynika ze mozesz miec tez problem z polaczeniem sie na naktore serwery ftp, bo nei masz pozwolenia na pakiety NEW. Warto je czasem dodac. A efekt pracy nmapa??? No coz, pierwsza regulka przepuszcza wsystko.. i do drugiej w sumie nigdy nie dojdzie iptables, wiec to co napisales, to wcale nie spelnia swojej roli. Pozdrawiam Dr_M
Re: niedzialajacy firewall
On Monday 03 of May 2004 01:20, marcin wrote: > iptables -P INPUT DROP > iptables -A INPUT -i ! eth2 -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > po czym sprawdzam sobie porty na adresie przypisanym do eth2: > > nmap 192.168.1.23 A skąd skanujesz ? Z hosta na którym tego "firewalla" uruchomiłeś ? Bo jeśli tak, to wyniki skanowania nie powinny dziwić, dostęp dla lo masz otwarty. -- pozdrawiam
niedzialajacy firewall
ello! uruchamiam sobie firewalla takimi oto regolkami (wynajdlem ten sposob na debian.black.pl - wiec wydaje mi sie, ze powinien dzialac) : iptables -P INPUT DROP iptables -A INPUT -i ! eth2 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT po czym sprawdzam sobie porty na adresie przypisanym do eth2: nmap 192.168.1.23 i dostaje: Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-03 01:16 CEST Interesting ports on 192.168.1.23: (The 1647 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 113/tcp open auth 199/tcp open smux 648/tcp open unknown /tcp open krb524 6346/tcp open gnutella /tcp open abyss Nmap run completed -- 1 IP address (1 host up) scanned in 4.760 seconds czy dzieki w/w reogolkom - bez regolek otwierajacych porty tak powinien wygladac wynik skanowania portow ?? jezeli ten sposob jest beee jak w takim razie moge zamknac wszystkie porty i pootwierac sobie te, ktore potrzebuje. pozdrawiam - iwi
Re: firewall i ciagle otwarte porty
On Mon, Apr 05, 2004 at 04:27:35PM +0200, Adam Soko?owski wrote: > zabepzieczam firewall > > i ciagle mam nastepuajce otwarte tcp porty: > > 21 ftp > > 389 ldap > > nie instalowalem ich a nawet bardzo bym chcial je usunac > > wychaszowalem z /etc/service > z /etc/inted.conf > > rowniez > > update-inetd --disable ... > > i nic ciagle sa otwarte > > w ktorym miejscu mozna je pozamykac ?? > > > system debian woody stable > Nie hashować w /etc/services, a tylko w /etc/inetd.conf. Na koniec dać z palca: killall -HUP inetd -- __ _ | |__ / |__ _ _ ___ ___| | __ | --->[EMAIL PROTECTED] <> GG: 4180810 <--- / /| '_ \| | | / __|_ / _ \ |/ / | -> JID: [EMAIL PROTECTED] <- / /_| |_) | |_| \__ \/ / __/ < | ---> LRU: 346785 <--- /|_.__/ \__, |___/___\___|_|\_\ | ---> GPG:<--- |___/ |
firewall i ciagle otwarte porty
hejka zabepzieczam firewall i ciagle mam nastepuajce otwarte tcp porty: 21 ftp 389 ldap nie instalowalem ich a nawet bardzo bym chcial je usunac wychaszowalem z /etc/service z /etc/inted.conf rowniez update-inetd --disable ... i nic ciagle sa otwarte w ktorym miejscu mozna je pozamykac ?? system debian woody stable pzdr adam sokolowski
firewall i przekierowanie/czy routing na dns
hej moja sytuacja IPodISP IP-1odRIP | | firewall dhcp nat | | -- || pcety za natem DNS serwer za natem 10.0.0.221 mam IP od RIP i kombinuje aby adres IP-1odRIP byl ip sewera DNS za natem czyli IP-1odRIP to glowny DNS IP-2odRIP to zapasowy DNS z sieci na swiat wychodze z adresem IPodISP Do tej pory co zrobilem i chodzi : IP-aliasy z numerami IPodRIP Firewall NAT DHCPD jedyne co nie moge skonfigurowac to wlasnei to aby serwer DNS za natem wychiodzil z adresem ip przyznanym przez RIP czyli jesli ssh`uje sie na numer IP-1odRIP powinno mnie przekierowac na DNS serwer za natem wygooglalem nastepujace regulki ale nie dzialaja /sbin/iptables -t nat -A PREROUTING -d IP-1odRIP -j DNAT --to 10.0.0.221 /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.221 -j SNAT --to IP-1odRIP nie jestem nawet dobry w iptables :-( system to oczywiscie debian woody stable co radzicie ?? pozdr adam sokolowski
Re: Re[2]: Irc i firewall
Dzięki wszystkim za pomoc. Używałem pidenta, zmieniłem na oidenta, ustawiłem pliki konfiguracyjne, ale mogę tylko wejść na irc-a Debiana, natomiast na żaden inny nie. Cały czas mam taki sam komunikat. W firewallu mam przepuszczany port 113. Dzięki za dalsze wskazówki. Darek - Original Message - From: "Radosław Maliborski" <[EMAIL PROTECTED]> To: Sent: Friday, March 26, 2004 2:08 AM Subject: Re[2]: Irc i firewall > Thursday, March 25, 2004 (12:46:28 PM) bieniu wpadł(a) na genialną myśl: > > > > > >> Mam firewalla z domyślną polityką INPUT na DROP. Potem otwieram > b> niektóre porty w tym porty z zakresu 6665 - 6669. Domyślna polityka na > b> OUTPUT i FORWARD jest ACCEPT. > >> Niestety nie mozna wejść na żadnego irca (działając z serwera). > >> > >> Przykładowo w BitchX mam: > >> Connecting to port 6667 of server krakow.irc.pl [refnum 0] > >> > >> i tak sobie czekam aż po jakimś czasie wyskakuje: > >> BitchX: Servers exhausted. Restarting. > >> Connecting to port 6667 of server krakow.irc.pl [refnum 0] > >> > >> Sytuacja jest analogiczna na innych serwerach irc. > >> > > b> serwery irca - polskie wymagaja posiadania identa > b> zapewne uzywasz oidentd ktory chodzi na porcie 113 domyslnie > b> sproboj otworzyc na firewallu port 113 i nie powinno byc juz problemu > > albo dodaj sobie cos takiego: > iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable > jesli nie uzywasz identa. > > -- > Radosław Maliborski > > [ There are people who want a peace on Earth, > a piece of Earth or just to piss on Earth... ] > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
Re[2]: Irc i firewall
Thursday, March 25, 2004 (12:46:28 PM) bieniu wpadł(a) na genialną myśl: > >> Mam firewalla z domyślną polityką INPUT na DROP. Potem otwieram b> niektóre porty w tym porty z zakresu 6665 - 6669. Domyślna polityka na b> OUTPUT i FORWARD jest ACCEPT. >> Niestety nie mozna wejść na żadnego irca (działając z serwera). >> >> Przykładowo w BitchX mam: >> Connecting to port 6667 of server krakow.irc.pl [refnum 0] >> >> i tak sobie czekam aż po jakimś czasie wyskakuje: >> BitchX: Servers exhausted. Restarting. >> Connecting to port 6667 of server krakow.irc.pl [refnum 0] >> >> Sytuacja jest analogiczna na innych serwerach irc. >> b> serwery irca - polskie wymagaja posiadania identa b> zapewne uzywasz oidentd ktory chodzi na porcie 113 domyslnie b> sproboj otworzyc na firewallu port 113 i nie powinno byc juz problemu albo dodaj sobie cos takiego: iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable jesli nie uzywasz identa. -- Radosław Maliborski [ There are people who want a peace on Earth, a piece of Earth or just to piss on Earth... ]
Re: Irc i firewall
On Thu, Mar 25, 2004 at 11:41:37AM +0100, Dariusz Skarbek wrote: > Mam firewalla z domyślną polityką INPUT na DROP. Potem otwieram niektóre > porty w tym porty z zakresu 6665 - 6669. Domyślna polityka na OUTPUT i > FORWARD jest ACCEPT. > Niestety nie mozna wejść na żadnego irca (działając z serwera). > > Przykładowo w BitchX mam: > Connecting to port 6667 of server krakow.irc.pl [refnum 0] > > i tak sobie czekam aż po jakimś czasie wyskakuje: > BitchX: Servers exhausted. Restarting. > Connecting to port 6667 of server krakow.irc.pl [refnum 0] > > Sytuacja jest analogiczna na innych serwerach irc. > > Coś robię źle :) Proszę o pomoc. Proponuję na początek pobawić się targetem "LOG". Marcin -- Marcin Owsiany <[EMAIL PROTECTED]> http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216
Re: Irc i firewall
> Mam firewalla z domyślną polityką INPUT na DROP. Potem otwieram niektóre porty w tym porty z zakresu 6665 - 6669. Domyślna polityka na OUTPUT i FORWARD jest ACCEPT. > Niestety nie mozna wejść na żadnego irca (działając z serwera). > > Przykładowo w BitchX mam: > Connecting to port 6667 of server krakow.irc.pl [refnum 0] > > i tak sobie czekam aż po jakimś czasie wyskakuje: > BitchX: Servers exhausted. Restarting. > Connecting to port 6667 of server krakow.irc.pl [refnum 0] > > Sytuacja jest analogiczna na innych serwerach irc. > serwery irca - polskie wymagaja posiadania identa zapewne uzywasz oidentd ktory chodzi na porcie 113 domyslnie sproboj otworzyc na firewallu port 113 i nie powinno byc juz problemu pozdro bieniu -- debian user
Irc i firewall
Witam Mam firewalla z domyślną polityką INPUT na DROP. Potem otwieram niektóre porty w tym porty z zakresu 6665 - 6669. Domyślna polityka na OUTPUT i FORWARD jest ACCEPT. Niestety nie mozna wejść na żadnego irca (działając z serwera). Przykładowo w BitchX mam: Connecting to port 6667 of server krakow.irc.pl [refnum 0] i tak sobie czekam aż po jakimś czasie wyskakuje: BitchX: Servers exhausted. Restarting. Connecting to port 6667 of server krakow.irc.pl [refnum 0] Sytuacja jest analogiczna na innych serwerach irc. Coś robię źle :) Proszę o pomoc. Pozdrawiam Darek
Re: Firewall na serwerze i ftp pasywny oraz aktywny
On Sat, 13 Mar 2004 01:28:45 +0100
Marek Adamski <[EMAIL PROTECTED]> napisał(a):
> Jeżeli dobrze zrozumiałem te regułki to dopisanie tych 3 linijek
> powinno pomóc.
Ja regulki do output dalem "na wyrost" - bo de facto
output to ja mam
iptables -P OUTPUT ACCEPT
dlatego w dokumencie na poczatku napisalem ze INPUT jest drop :/
Masz jeszcze jakies pomysly?
Pozdrawiam
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Re: Firewall na serwerze i ftp pasywny oraz aktywny
Witaj Adrian,
W Twoim liście datowanym 12 marca 2004 (13:40:06) można przeczytać:
AS> Hej, pisze bo juz nie wiem co mam sadzic na ten temat :)
AS> Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc -
AS> jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie
AS> jest z osobna wpisywana na firewallu.
AS> Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak:
AS> iptables -P INPUT DROP
AS> ## Make sure NEW tcp connections are SYN packets
AS> iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
AS> # ICMP stuff
AS> iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j
AS> ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
AS> ACCEPT
Te regułki jak dla mnie wskazują na możliwość łączenia się do tego
komputera na usługę ftp. Jeżeli tak ma być to dopisałbym tu:
AS> # Wszyscy moga podlaczyc sie do FTP/21
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p udp --sport 21 -j ACCEPT
AS> # Wszyscy moga podlaczyc sie do FTP-DATA/20
AS> iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -d $ALL -s $LOCALHOST1 -p tcp --sport 20 -j ACCEPT
Regułki niżej wskazują na możliwość łączenia się z tego kompa do ftp
innych serwów.
AS> UNPRIVPORTS="1024:65535"
AS> # Allow ftp outbound.
AS> iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state
AS> ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m
AS> state --state NEW,ESTABLISHED -j ACCEPT
AS> # 1) Active ftp.
AS> # involves connection INbound from remote port 20 to a local port
AS> iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state
AS> ESTABLISHED,RELATED -j ACCEPT
AS> iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state
AS> ESTABLISHED -j ACCEPT
AS> # 2) Passive ftp.
AS> # involves connection outbound from port >1023 to a port >1023
AS> (*)iptables -A INPUT -i eth0 -p tcp --sport $UNPRIVPORTS --dport
AS> $UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT
AS> iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport
AS> $UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT
AS> Regulki pochodza ze strony
AS> http://www.sns.ias.edu/~jns/security/iptables/rules.html
AS> Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac
AS> katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED
AS> pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania
AS> polacze bo jest NEW (czy gdzies sie myle??).
AS> Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp
AS> nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc
AS> reguly.
AS> Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal
AS> przejsc calemu ftp nie odkrywajac wszystkich wysokich portow?
AS> Pozdrawiam
AS> --
AS> Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
AS> sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Jeżeli dobrze zrozumiałem te regułki to dopisanie tych 3 linijek
powinno pomóc.
--
Pozdrowienia,
**
* Marek (SirAdams) Adamski *
*ICQ:42751516*
* GG:14747 *
* Linux user:#253788 *
**
Firewall na serwerze i ftp pasywny oraz aktywny
Hej, pisze bo juz nie wiem co mam sadzic na ten temat :)
Na serwerze jest ftp - chce aby klienci mogli sie z nim polaczyc -
jednoczesnie aby nie mozna sie bylo polaczyc na inna usluge ktore nie
jest z osobna wpisywana na firewallu.
Obecnie czesc firewalla (odpowiedzialna za ftp) wyglada tak:
iptables -P INPUT DROP
## Make sure NEW tcp connections are SYN packets
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
# ICMP stuff
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
ACCEPT
# Wszyscy moga podlaczyc sie do FTP/21
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p udp --dport 21 -j ACCEPT
# Wszyscy moga podlaczyc sie do FTP-DATA/20
iptables -A INPUT -s $ALL -d $LOCALHOST1 -p tcp --dport 20 -j ACCEPT
UNPRIVPORTS="1024:65535"
# Allow ftp outbound.
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m
state --state NEW,ESTABLISHED -j ACCEPT
# 1) Active ftp.
# involves connection INbound from remote port 20 to a local port
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
# 2) Passive ftp.
# involves connection outbound from port >1023 to a port >1023
(*)iptables -A INPUT -i eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport $UNPRIVPORTS --dport
$UNPRIVPORTS -m state--state ESTABLISHED,RELATED -j ACCEPT
Regulki pochodza ze strony
http://www.sns.ias.edu/~jns/security/iptables/rules.html
Przy takich ustawieniach PASSIVE ftp nie dziala (nie moze wylistowac
katalogu choc sie loguje). Zmiana linijki (*) na --state NEW,ESTABLISHED
pomaga ale z kolei otwiera ona wszystkie porty wysokie do nawiazywania
polacze bo jest NEW (czy gdzies sie myle??).
Jednak mimo nawet takich ustawien jak powyzej bywaja klienci ktorym ftp
nie przechodzi - zawsze sa za jakas maskarada - ale nie potrafie znalezc
reguly.
Czy ktos moze podac jaka regule dla firewalla ktory by na pewno pozwalal
przejsc calemu ftp nie odkrywajac wszystkich wysokich portow?
Pozdrawiam
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
php apache squid a może firewall??
Mam pytanie bo pojawił mi się problem, ponieważ zainstalowałem Na serwerze apacha z php4 i wszystko ładnie działa jak wchodzę Na ten serwer z zewnątrz, ale natomiast jak próbuje wchodzić na Niektóre strony które są na tym serwerze zrobione w php z sieci wewnętrznej to się nie Otwierają tylko od razu otwiera się okienko ściągania i chce ściągąć Plik np. index.php, natomiast jak wchodzę z pracy to wszystko działa tak jak powinno, Php wydaje mi się, że działa prawidłowo, Ponieważ stworzyłem stronkę index.php na stronie głównej, jej kod to echo (‘cokolwiek’); ?> I jak otworzyłem przez przeglądarkę to wyświeliła mi się stronka z napisem Cokolwiek, a nie rozpoczęło się ściąganie pliku index.php. Jakby ktoś wiedział co mogłem zwalić to proszę o jakieś wskazówki. Pozdrawiam Adam.
Re: Re[2]: router, bridge i firewall
Dnia Sun, 7 Mar 2004 17:52:21 +0100, Marcin <[EMAIL PROTECTED]> napisał: Hello Kamil, Sunday, March 7, 2004, 5:25:35 PM, you wrote: KB> Marcin wrote: KB> tylko ze nie wiem za bardzo jak to zrobic skoro podnoszac bridge-a "znikaja" adresy kart do ktorych sa podpiete sieci. KB> Hej, KB> Dokladnie tak ma byc. KB> Jak zainstalujesz bridge-utils to: KB> brctl addbr br0 KB> brctl addif br0 eth0 KB> brctl addif br0 eth1 KB> ifconfig eth0 0.0.0.0 KB> ifconfig eth1 0.0.0.0 KB> ifconfig br0 STARY_ADRES_ETH0 KB> ifconfig br0:1 STARY_ADRES_ETH1 Można przypisać adres IP do bridga i potem udostępnić sieć. ifconfig br0 adre.ip.bridga a potem routing/firewall/NAT pozdrwiam. -- === [EMAIL PROTECTED] [EMAIL PROTECTED] ===
Re: router, bridge i firewall
Marcin wrote: jak moge tego bridge-a "zgasic" i usunac ifconfig br0 down brctl delbr br0 A jak nie pojdzie to: ifconfig br0 brctl delif br0 eth0 brctl delif br0 eth1 brctl delbr br0 -- Pozdrawiam, Kamil Bista
Re[2]: router, bridge i firewall
a teraz brctl delbr br0 daje mi cos takiego: bridge br0 is still up; can't delete it jak moge tego bridge-a "zgasic" i usunac pozdrawiam
Re[2]: router, bridge i firewall
Hello Kamil, Sunday, March 7, 2004, 5:25:35 PM, you wrote: KB> Marcin wrote: KB> tylko ze nie wiem za >> bardzo jak to zrobic skoro podnoszac bridge-a "znikaja" adresy kart do >> ktorych sa podpiete sieci. KB> Hej, KB> Dokladnie tak ma byc. KB> Jak zainstalujesz bridge-utils to: KB> brctl addbr br0 KB> brctl addif br0 eth0 KB> brctl addif br0 eth1 KB> ifconfig eth0 0.0.0.0 KB> ifconfig eth1 0.0.0.0 KB> ifconfig br0 STARY_ADRES_ETH0 KB> ifconfig br0:1 STARY_ADRES_ETH1 KB> I powinno latac. KB> Pozdro, KB> -- KB> Portal INTERIA.PL zaprasza... >>> http://link.interia.pl/f17cb oks - dziala tylko ze na kazdej konsoli wywala jakies komunikaty PROTO=6 adgresipnadawcy adresipodbiorcy L=92 S=0x00 I=64450 F=0x4000 T=128 nf-hook:hook 1 already set. skb: pf=2 (unowned) dev br0 len=40 mniej wiecej cos takiego - ale nie dokladnie bo dane sie zmieniaja. kiedy robie cos w necie z sieci wurzuca jeszcze cos takiego: PROTO=6 adgresipnadawcy adresipodbiorcy L=92 S=0x00 I=64450 F=0x4000 T=128 ip_finish-output: bad unowned skb = c39878e0; PRE_ROUTING LOCAL_IN FORWARD POST_ROUTING skb; pf=2 (unowned) dev=eth2 len = 60 jakos takwyswietla sie na kazdej konsoli na ktorej akurat jestem... co to wogole za inforamcje ??
router, bridge i firewall
witam! mam router - z firewallem o zewnetrznym ip i dwie sieci 192.168.2.0/4 i192.168.3.0/24 - mam wiec 3 karty sieciowe w rojtku. problem polega na tym ze chcialbym polaczyc ze soba te dwie sieci - zeby byly widoczne udostepnione katalogi, zeby sobie pograc troszq itp. czytalem juz bridge-howto ale nie ma tam nic na temat routowania - a chcialbym udostepniac net - z tej trzeciej karty sieciowej tylko ze nie wiem za bardzo jak to zrobic skoro podnoszac bridge-a "znikaja" adresy kart do ktorych sa podpiete sieci.
Re: firewall, kde, samba
W liście z pon, 29-12-2003, godz. 23:40, Michał Niezbecki pisze: > Witam, > > Dzis hurtowo, 3 pytanka :) > > 1. Ktos kiedys na liscie podawal jako przyklad bardzo przyjemna > rozbudowana konfiguracje firewalla na iptables. Niestety zniklo > gdzies w otchlaniach dysku.. Moglbym prosic jeszcze raz? > To moglem byc ja. Jak to ja znajdziesz to tu: http://michal.linuxstuff.pl/iptables.txt P.S. Skorzystam z okazji posylania posta. Poniewaz denerwuje mnie coraz wieksza ilosc spamu, jaka przychodzi mi na onetowe konto, zrezygnuje z niego, jezeli ktos bedzie mial wole napisc cos do mnie, moj nowy adres: michal malpka linxstuff.pl Pozdrawiam wszystkich i zycze szczesliwego nowego roku :). Michal
firewall, kde, samba
Witam, Dzis hurtowo, 3 pytanka :) 1. Ktos kiedys na liscie podawal jako przyklad bardzo przyjemna rozbudowana konfiguracje firewalla na iptables. Niestety zniklo gdzies w otchlaniach dysku.. Moglbym prosic jeszcze raz? 2. KDE. Z paczek Bunka. Przy probie przejscia do konsoli (F1) monitor sie wygasza (wylacza). Po F7 wraca poprawnie do iksow. Spotkal sie ktos z takim problemem? 3. Samba. Nie moge przekopiowac w sambie pliku wiekszego niz 2,5G. Samba z woodiego. Bede wdzieczny za sugestie. -- Pozdrawiam, Michał mailto:[EMAIL PROTECTED] -- www.kkr.org.pl www.wrc.net.pl
Re: Firewall
W liście z nie, 07-12-2003, godz. 01:42, Krzysiek pisze: > czesc > Jak mam zrobic jesli chce aby moj firewall oparty na iptables > akceptowal pakiety z serwerow o niestalych potrach (np net2phone) ? Witaj. Wystraczy ze w regulce nie okreslisz adresu hosta, a jedynie podasz dozwolony port z ktorego jakikolwiek ruch wchodzacy jest dozwolony. Moze maly przykladzik, co mam na mysli: iptables -A INPUT -i eth0 -p tcp --dport xxx -j ACCEPT gdzie tutaj akurat ruch wchodzacy jest na karcie sieciowej eth0, protokol tcp no i port docelowy (destination port) xxx (uzupelnij sobie wartoscia portu);-P. Praca domowa: man iptables ;-). Pozdrowka -- Dr_M gg:4686184 JID: [EMAIL PROTECTED] Registered Linux User #326756
Firewall
czesc Jak mam zrobic jesli chce aby moj firewall oparty na iptables akceptowal pakiety z serwerow o niestalych potrach (np net2phone) ?
Re: firewall i blokada adresu internetowego
Witam! Akurat 11-08-2003 (poniedziałek) o godz. 14:04 PeterMax na Go napisał(a): > Chciabym sie dowiedziec czy jest mozliwosc zablokowania konkretnego > adresu www (nie IP serwera) na firewallu czy musze koniecznie > odpalic jakiegos proxy serwera? Tutaj odpowiadam na list, który wysłałeś do mnie na priv. Założenia: 1. Serwis www na zewnątrz 2. Iptables 3. Blokada dotyczy wszystkich w LAN Odpowiedź: iptables -A FORWARD -d -j DROP Teraz wpisanie do przeglądarki adresu tego serwisu spowoduje oczekiwanie w nieskończoność na odpowiedź. Oczywiście jest to tylko jedno z możliwych rozwiązań. Wszystko zależy od konfiguracji firewalla. Pozdrawiam Tomasz Skrynnyk -- Linux Registered User #277542 | http://lab02.host.sk | GG: 136500
Re: firewall i blokada adresu internetowego
Witam! Akurat 11-08-2003 (poniedziałek) o godz. 14:04 PeterMax na Go napisał(a): > Chciabym sie dowiedziec czy jest mozliwosc zablokowania konkretnego > adresu www (nie IP serwera) na firewallu czy musze koniecznie > odpalic jakiegos proxy serwera? W takim ujęciu nie widzę związku między jednym a drugim :(. A poza tym zadaj precyzyjne pytanie! Chodzi o zablokowanie dostępu do serwisu konkretnemu użytkownikowi, całkowite zablokowanie strony? To jest strona/serwis na zewnątrz (LAN) czy wewnątrz? Chcesz blokować wyjście czy powrót? Używasz iptables czy ipchains... Jakoś z fusów mi nic nie wychodzi ;))) Pozdrawiam Tomasz Jakub Skrynnyk -- Linux Registered User #277542 | http://lab02.host.sk | GG: 136500
firewall i blokada adresu internetowego
Witam! Chciabym sie dowiedziec czy jest mozliwosc zablokowania konkretnego adresu www (nie IP serwera) na firewallu czy musze koniecznie odpalic jakiegos proxy serwera? -- Pozdrowienia, PeterMax mailto: [EMAIL PROTECTED]
Re: firewall i problemy
On Fri, 25 Jul 2003 20:27:37 +0200 Grzegorz K <[EMAIL PROTECTED]> wrote: > 2. FORWARD i INPUT do i z sieci wew. mam akceptowany. Nizej napisalem > w jaki sposob blokuje wszystkie porty i udostepniam moje uslugi. Mimo > tego userzy moga stawiac np. bnc. Otwieraja porty i sa one dostepne > dla ludzi z zewnatrz. Co zrobilem zle? Czemu sa dostepne? > > iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT > iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT > iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT > iptables -A INPUT -j DROP INPUT to pakiety, które mają trafić do twojego systemu. Jeżeli oni stawiają cokolwiek na systemie z firewallem, to pakiety od nich wychodzą przez OUTPUT. Jeżeli z sieci lokalnej, to przechodzi przez FORWARD, albo POSTROUTING. iptables -A INPUT -p tcp -m multiport --destination-port 21,22,25,53,80 -m state --state NEW -j ACCEPT wyglądałoby ładniej i czytelniej ;) -- Pozdrawiam, Michał Byrecki
firewall i problemy
Witam, mam kilka teoretycznych pytan: 1. Czym rozni sie ustawienie polityki dla INPUT na drop od iptables -A INPUT -j DROP? Mysle, ze po iptables -P INPUT DROP, wszystkie pakiety sa odrzucane. Moge pozniej przyjmowac wybrane na odpowiednich portach ale ten sam efek otrzymam jak polityka bedzie na ACCEPT, otworze zadane porty i na koncu dodam iptables -A INPUT -j DROP. Poprawcie mnie, prosze jezeli zle mysle. 2. FORWARD i INPUT do i z sieci wew. mam akceptowany. Nizej napisalem w jaki sposob blokuje wszystkie porty i udostepniam moje uslugi. Mimo tego userzy moga stawiac np. bnc. Otwieraja porty i sa one dostepne dla ludzi z zewnatrz. Co zrobilem zle? Czemu sa dostepne? iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j DROP pozdrawiam -- Grzegorz K calebr(at)net-core.net http://net-core.net
Re: Firewall i samba
/ciach > > Niestety dalej mam problem z wejsciem na komputer poprzez otoczenie sieciowe > z poziomu win2k. > Co dziwniejszcze mode sie dostac na komputer po adresie IP a netbios nie > dziala!!! > Moze jakies sugestie > /ciach 1. Włączyć rozpoznawanie przez lmhosts i zaaplikować mu odpowiednie wpisy do lmhosta na w2k i linuksie. Pogooglaj dokładnie gdzie powinien się znajdować. 2. Sprawdź czy w2k włączone są bcasty -> gdzieś w tym samym okienku co włączanie rozpoznawania lmhosts. 3. Zaaplikuj wpis do rejestru w2k: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Browser parametr Start = dword 0004 Na linuksie ustaw sambe jako LMB - opcja prefferred master = yes i os level = 64 Zrestartuj w2k i serwer samby Pzdr Barthoosh signature.asc Description: PGP signature
Re: Firewall i samba
- Original Message - From: "Maciej Bobrowski" <[EMAIL PROTECTED]> To: "polska lista debianowa" Sent: Friday, July 18, 2003 7:46 AM Subject: Re: Firewall i samba > > > > Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo > > > lokalnie otoczenie sieciowe: > > na przyklad tak: > (za pomoca skryptu, zeby mniej sie napisac) > > #!/bin/csh > > set ipki = "IP1 IP2 ... IPn" > > #nmb i smb (porty 137,138,139): > foreach IP ($ipki) > > iptables -A INPUT -p tcp --dport 137 -s $IP -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 137 -s $IP -m state --state NEW -j ACCEPT > iptables -A INPUT -p tcp --dport 138 -s $IP -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 138 -s $IP -m state --state NEW -j ACCEPT > iptables -A INPUT -p tcp --dport 139 -s $IP -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 139 -s $IP -m state --state NEW -j ACCEPT > > end > > a i moze DNS warto tez odblokowac > > #DNS (port 50): > iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT > > > Pozdrowienia, > Maciej Bobrowski > Niestety dalej mam problem z wejsciem na komputer poprzez otoczenie sieciowe z poziomu win2k. Co dziwniejszcze mode sie dostac na komputer po adresie IP a netbios nie dziala!!! Moze jakies sugestie
Re: Firewall i samba
> > #DNS (port 50): > > iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT > > iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT > Od kiedy DNS to port 50? :) pomylka! powinno byc 53 oczywiscie. Pozdrawiam, Maciej
Re: Firewall i samba
On Fri, Jul 18, 2003 at 07:46:50AM +0200, Maciej Bobrowski wrote: > a i moze DNS warto tez odblokowac > > #DNS (port 50): > iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT > iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Od kiedy DNS to port 50? :) Wanted
Re: Firewall i samba
> > Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo > > lokalnie otoczenie sieciowe: na przyklad tak: (za pomoca skryptu, zeby mniej sie napisac) #!/bin/csh set ipki = "IP1 IP2 ... IPn" #nmb i smb (porty 137,138,139): foreach IP ($ipki) iptables -A INPUT -p tcp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 137 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 138 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 139 -s $IP -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 139 -s $IP -m state --state NEW -j ACCEPT end a i moze DNS warto tez odblokowac #DNS (port 50): iptables -A INPUT -p tcp --dport 50 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 50 -m state --state NEW -j ACCEPT Pozdrowienia, Maciej Bobrowski
Re: Firewall i samba
On Thu, Jul 17, 2003 at 11:26:48PM +0200, Tomasz M. wrote: > Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo > lokalnie otoczenie sieciowe: > w chwili obecnej mam cos takiego: > > $IPTABLES -A INPUT -i $INTDEV -p tcp --dport 139 -m state --state > NEW -j ACCEPT > $IPTABLES -A INPUT -i $INTDEV -p udp --dport 139 -m state --state > NEW -j ACCEPT > > probowalem na rozne sposoby i nic Help Me! Zobacz archiwum listy. Mialem ten sam problem, ale dobre ludki pomogly i dziala slicznie. Jasta tam podany moj przyklad firewalla + to co zasugerowali debian-userzy w ramach pomocy :-) -- Pozdrawiam ** Krzysztof Krupa ** **GG: 1104936 ** ** [EMAIL PROTECTED] **
Re: Firewall i samba
Jak podają anonimowe źródła, przepowiedziano, że Tomasz M. napisze: > Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo > lokalnie otoczenie sieciowe: > w chwili obecnej mam cos takiego: > $IPTABLES -A INPUT -i $INTDEV -p tcp --dport 139 -m state --state > NEW -j ACCEPT > $IPTABLES -A INPUT -i $INTDEV -p udp --dport 139 -m state --state > NEW -j ACCEPT > > probowalem na rozne sposoby i nic Help Me! Spróbuj: s/139/137:139/g prawdopodobnie przyda się jeszcze dopuszczenie zapytań z portu 137 na DNS. Pozdrawiam -- Jacek Kawa **Define the universe. Give three examples.** [r.h.f.r]
Firewall i samba
Jak powinny wygladac regolki firewalla opartego na iptables zeby dzialalo lokalnie otoczenie sieciowe: w chwili obecnej mam cos takiego: $IPTABLES -A INPUT -i $INTDEV -p tcp --dport 139 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i $INTDEV -p udp --dport 139 -m state --state NEW -j ACCEPT probowalem na rozne sposoby i nic Help Me!
