Re: Iptables-kérdés
Sziasztok! Nagyon köszönöm mindenkinek a válaszokat. Azt kérdezném még, hogy a "NAT áthaladás" menüpont alatt minden alapértelmezetten be volt kapcsolva és pár portot NAT-olt befelé, ez nagyon régóta így volt, most vettem észre. El lehetett kapni valamilyen kártevőt pl. a Windows-os gépeknek? Sok olyan kártevő program van, ami portszkenneléssel próbálkozik bejutni vagy sebezhetőséget keresni és ha olyan porton próbálkozott, ami NAT-olva volt befelé akkor akár be is juthatott valami? Következő opciók voltak engedélyezve valamint alábbit írja erről a web-es felület: WAN - NAT áthaladás A NAT áthaladás engedélyezése lehetővé teszi egy Virtuális magánhálózati (VPN) kapcsolat számára az áthaladást a routeren a hálózati kliensekhez. PPTP áthaladás L2TP áthaladás IPSec áthaladás IPTV áthaladás H.323 áthaladás SIP áthaladás PPPoE közvetítés engedélyezése Ezek mind engedélyezve voltak. Nincs IPTV, VPN-hez sem szoktam csatlakozni. Üdv, G _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Iptables-kérdés
Lajber Zoltan writes: > On Fri, 22 Jan 2016, Géza Kovacs Géza wrote: > >> Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat >> és valamit nem értek: >> Ez a sor: >> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a > valaszt (RELATED). Nem, az UDP válasz az ESTABLISHED révén jöhet be /proc/sys/net/netfilter/nf_conntrack_udp_timeout másodpercig. A RELATED megüzent portszámok választásakor lép be, pl. TFTP esetén, ha betöltöd a megfelelő helper modult. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Iptables-kérdés
Sziasztok! On Fri, Jan 22, 2016 at 09:46:14AM +0100, Lajber Zoltan wrote: > Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a > valaszt (RELATED). A RELATED lényege, hogy olyan új kapcsolatokat engedélyezzen, ami valami módon kapcsolódik a jelenlegiekhez. Ilyen pl. az FTP protokoll adatcsatornája, de ide sorolják az ICMP hibaüzeneteket is. > udp-n nincs ertelmezve az ESTABLISHED. Értelmezett, a kimenő UDP csomagra visszaengedi a választ. A man iptables-extensions leírja ezeket. Üdv Bozo _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Iptables-kérdés
Hi! Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat és valamit nem értek: Ez a sor: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a valaszt (RELATED). udp-n nincs ertelmezve az ESTABLISHED. A lényegen nem változtat, csak kis pontosítás: én úgy emlékszem, hogy a válasz beengedéséért az ESTABLISHED felel és a RELATED, ami nincs értelmezve UDP esetén. A lényeg: egy kapcsolat felépítésekor az első csomag NEW opcióval jön, ha az nincs beengedve (és ez a szabály nem engedi be), akkor új kapcsolat nem fog tudni létre jönni, de a már létezőket (valahol valamely másik szabály beengedte, vagy a kapcsolat a másik irányból (OUTPUT) épült fel,) nem bántja. megoldaná az alábbit is és feleslegesen van engedélyezve, vagy rosszul gondolom? -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT Ez a bejovo dhcp -t engedelyezi. Ha nincs ez a sor, akkor dhcp klienskent fog mukodni, de nem tud dhcp szerver lenni. Ez a konkrét magyarázat. Egyébként meg azt nézd meg, hogy itt mind a forrás-, mind a cél port is meg van adva. Tehát nem elég, hogy UDP-n eltalálod a 68-as portot, de a csomagnak tőled a 67-es portról kell indulnia! Ez azért bőven nagyobbat szűr, mint az előző szabály, ahol nincs semmilyen port korlátozás. Mivel már kezdeményezett kapcsolatokra utal és nekem sima Linux alatt soha nem volt bajom tűzfallal, ha csak ezt az egyetlen sort tartalmazta és csak a related és established csomagokat engedtem, UDP üzenetek is mentek, DNS lekérdezés stb. Nem jelent kockázatot külön az UDP engedélyezése? Nem. A portok szűkítése miatt minimális forgalmat engedélyezel, azt meg engedned kell ahhoz, hogy a masina DHCP szerver legyen. Illetve ha ezt nem akarod, akkor ezt a szabályt kiveheted. Üdv Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Iptables-kérdés
On Fri, 22 Jan 2016, Géza Kovacs Géza wrote: Sziasztok! Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat és valamit nem értek: Ez a sor: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a valaszt (RELATED). udp-n nincs ertelmezve az ESTABLISHED. megoldaná az alábbit is és feleslegesen van engedélyezve, vagy rosszul gondolom? -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT Ez a bejovo dhcp -t engedelyezi. Ha nincs ez a sor, akkor dhcp klienskent fog mukodni, de nem tud dhcp szerver lenni. Mivel már kezdeményezett kapcsolatokra utal és nekem sima Linux alatt soha nem volt bajom tűzfallal, ha csak ezt az egyetlen sort tartalmazta és csak a related és established csomagokat engedtem, UDP üzenetek is mentek, DNS lekérdezés stb. Nem jelent kockázatot külön az UDP engedélyezése? Üdv, G _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux -=Lajbi=- LAJBER Zoltan engineer: a mechanism for converting caffeine into designs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Iptables-kérdés
Sziasztok! Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat és valamit nem értek: Ez a sor: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT megoldaná az alábbit is és feleslegesen van engedélyezve, vagy rosszul gondolom? -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT Mivel már kezdeményezett kapcsolatokra utal és nekem sima Linux alatt soha nem volt bajom tűzfallal, ha csak ezt az egyetlen sort tartalmazta és csak a related és established csomagokat engedtem, UDP üzenetek is mentek, DNS lekérdezés stb. Nem jelent kockázatot külön az UDP engedélyezése? Üdv, G _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
