yen pl. az FTP protokoll adatcsatornája,
de ide sorolják az ICMP hibaüzeneteket is.
> udp-n nincs ertelmezve az ESTABLISHED.
Értelmezett, a kimenő UDP csomagra visszaengedi a választ.
A man iptables-extensions leírja ezeket.
Üdv
Bozo
_
li
Hi!
Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat
és valamit nem értek:
Ez a sor:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a
valaszt (RELATED). udp-n nincs ertelmezve az ESTABLISHED.
On Fri, 22 Jan 2016, Géza Kovacs Géza wrote:
Sziasztok!
Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat
és valamit nem értek:
Ez a sor:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a
Lajber Zoltan writes:
> On Fri, 22 Jan 2016, Géza Kovacs Géza wrote:
>
>> Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat
>> és valamit nem értek:
>> Ez a sor:
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> Ez azt jelenti, hogy ha mar lat
Sziasztok!
Nagyon köszönöm mindenkinek a válaszokat.
Azt kérdezném még, hogy a "NAT áthaladás" menüpont alatt minden
alapértelmezetten be volt kapcsolva és pár portot NAT-olt befelé, ez
nagyon régóta így volt, most vettem észre.
El lehetett kapni valamilyen kártevőt pl. a Windows-os gépeknek?
Sziasztok!
Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat
és valamit nem értek:
Ez a sor:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
megoldaná az alábbit is és feleslegesen van engedélyezve, vagy rosszul gondolom?
-A INPUT -p udp -m udp --sport 67 --dport 68 -j
Hello!
2011-10-11 16:37 keltezéssel, Szima Gábor írta:
Hogyan lehet iptables segitsegevel egy mar felepult NAT-olt kapcsolatot
megszuntetni/lezarni?
Szerintem
aptitude install conntrack
conntrack -F # töröl minden megfigyelt kapcsolatot.
-D -vel lehet valahogy egyenként is bejegyzéseket
Sziasztok!
Hogyan lehet iptables segitsegevel egy mar felepult NAT-olt kapcsolatot
megszuntetni/lezarni?
Van 2 tuzfal scriptem, amelyek bizonyos feltetelek eseten indulnak el
felvaltva (vagy az egyik, vagy a masik az aktiv).
Az egyik enged egy bizonyos cimre/portra valo NAT-ot, a masik nem
Sziasztok!
Szima Gábor wrote:
Hogyan lehet iptables segitsegevel egy mar felepult NAT-olt kapcsolatot
megszuntetni/lezarni?
Nemreg csinaltam egy gyereknevelo routert, amivel egy kollegam otthoni
gepeit lehet akar egyenkent letiltani az internetrol. Az volt a
megoldas, hogy az engedelyezest
hello,
On Wed, Sep 08, 2010 at 06:27:36PM +0200, Gabor HALASZ wrote:
2010.09.08. 15:54 keltezéssel, Hegedüs Ervin írta:
Nem nagyon ertelek
konkrétan mit?
Az egeszet kavarast, pl minek kell ip cima http-ben, nem lehetne oda is
dns name-t irni, stb...
ez volt a javaslatom az
On 2010.09.09. 8:37, Hegedüs Ervin wrote:
de nem a kintről jövő forgalomban kell manipulálni, hanem akik
bentről mennek proxyn keresztül. És itt ez a lényeg, h a belső
kliensek mennek proxyn keresztül egy külső címre, amit ua a hoszt
redirectel a saját hálójuk felé (bár ez utóbbi irreleváns,
hello,
On Wed, Sep 08, 2010 at 06:55:44AM +0200, Zs wrote:
Hi!
A cég weboldalán az egyik oldalon van egy iframe, amiben a
hivatkozás a gép publikus IP-je (tehát nem DNS név, hanem IP) és
egy port, mondjuk 1.2.3.4:82. Ez van DNAT-tal továbbítva az
5.6.7.8:80-ra.
Akkor van gond,
On 2010.09.08. 14:48, Hegedüs Ervin wrote:
innentől szerintem ez már nem releváns.
Nem nagyon ertelek (plane, hogy a kernel nem szeparalja rendesen az
alias interfacek forgalmat), de miert is nem hasznalsz valami proxyt
befele? A squid is tud accelerator lenni, apache/lighttpd/nginx mind tud
hello,
On Wed, Sep 08, 2010 at 03:17:54PM +0200, Gabor HALASZ wrote:
On 2010.09.08. 14:48, Hegedüs Ervin wrote:
innentől szerintem ez már nem releváns.
Nem nagyon ertelek
konkrétan mit?
(plane, hogy a kernel nem szeparalja rendesen az
alias interfacek forgalmat),
a lo interface-t
On Wed, Sep 08, 2010 at 03:54:05PM +0200, Hegedüs Ervin wrote:
Attól még a Squid a kliens által kért 1.2.3.4-re akarna
kapcsolódni,
ja, akarna.
én kérek elnézést.
a.
_
linux lista - linux@mlf.linux.rulez.org
2010.09.08. 15:54 keltezéssel, Hegedüs Ervin írta:
Nem nagyon ertelek
konkrétan mit?
Az egeszet kavarast, pl minek kell ip cima http-ben, nem lehetne oda is
dns name-t irni, stb...
(plane, hogy a kernel nem szeparalja rendesen az
alias interfacek forgalmat),
a lo interface-t érted alias
hello,
van egy irodai tűzfal, HTTP-nek Squid a kliensek felé, ill van
egy iptables, ami többek között néhány portot DNAT-tal továbbít
belső hosztokra.
A cég weboldalán az egyik oldalon van egy iframe, amiben a
hivatkozás a gép publikus IP-je (tehát nem DNS név, hanem IP) és
egy port, mondjuk
Hi!
A cég weboldalán az egyik oldalon van egy iframe, amiben a
hivatkozás a gép publikus IP-je (tehát nem DNS név, hanem IP) és
egy port, mondjuk 1.2.3.4:82. Ez van DNAT-tal továbbítva az
5.6.7.8:80-ra.
Akkor van gond, ha a proxy mögött ülő kliensek megpróbálják
megnézni ezt az oldalt,
Van egy, az alábbiak szerint beállított iptables:
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Valamennyi helyi forgalom engedélyezése:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Kizárólag az általunk
mondani, hogy melyik program használja ezt a portot...?
nem biztos h használja valami a portot, mivel ha az iptables
eldobja a csomagot, akkor logolódik.
Ez az input láncon van, tehát valaki ismeretlenül próbál erre
konnektálni.
(egyébként meg netstat -anup | grep 29777)
a.
--
Minden baj
=UDP SPT=16881 DPT=29777 LEN=106
Meg tudná valaki mondani, hogy melyik program használja ezt a portot...?
nem biztos h használja valami a portot, mivel ha az iptables
eldobja a csomagot, akkor logolódik.
Ez az input láncon van, tehát valaki ismeretlenül próbál erre
konnektálni.
(egyébként
In article 20090819160112.gd27...@linux.gyakg.u-szeged.hu,
=?iso-8859-2?Q?P=C1SZTOR_Gy=F6rgy?= pasz...@linux.gyakg.u-szeged.hu
writes:
Mi=E9rt akarod, hogy broadcast storm legyen a h=E1l=F3don?
Wins-t tess=E9k be=E1ll=EDtani, =E9s el=F5re eld=F6nteni ki a master browse=
r.
Hidd el
On Mon, Aug 24, 2009 at 06:46:45AM +, Kiss Gabor wrote:
Hidd el nem poénnak szánom a kérdést: mi az a wins? :-)
Microsoft WINS Servers
The WINS system for name resolution can be viewed as a set of
tightly integrated components:
* WINS server. A computer that provides the WINS service
Hi!
Kiss Gabor ki...@ssg.ki.iif.hu írta 2009-08-13 07:16-kor:
Ez mindenfele szolgaltatasokat nyujt a regi szomszedainak.
Illetve csak nyujtana. Van ami nem megy, mert a kliensei most
hiaba kuldik a broadcastokat a 137-es UDP portra (netbios-ns),
baratunk nem kapja meg oket.
Ez ugyan nem a
a kliensei most
hiaba kuldik a broadcastokat a 137-es UDP portra (netbios-ns),
baratunk nem kapja meg oket.
Hogy lehetne az iptables-be olyan funkcionalitast konfiguralni,
mint a Cisco routerekben az ip helper?
kissg
_
linux lista - linux
In article h60ekd$nn...@turmix.ikk.sztaki.hu,
ki...@ssg.ki.iif.hu (Kiss Gabor) writes:
Hogy lehetne az iptables-be olyan funkcionalitast konfiguralni,
mint a Cisco routerekben az ip helper?
Targytalan! Bocs!
g
_
linux lista
In article h0r56g$pr...@turmix.ikk.sztaki.hu,
ki...@ssg.ki.iif.hu (Kiss Gabor) writes:
Ezt a sort generálja a ferm:
-A RESTRICTED --jump ACCEPT --protocol tcp --source XX.XX.XX.XX --destination
YY.YY.YY.YY --dport --match time --datestop 2009-06-12T12:00
Szoval a kerdes meg
-e.
Strace, iptables reinstall...
Bingo!
Volt egy régi iptables a /usr/local/sbin/ alatt es en tudtomon
kivul azt futtattam. :-(
Danke schoen! - mondtak a partizanok. :-)
kissg
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2
SziYa!
Próbáld meg így:
Pl: iptables -I FORWARD -i eth0 -s xx.xx.xx.xx -m time --datestart
2009-06-13T18:00 -j ACCEPT
Kiss Gabor írta:
--match time --datestart 2009:06:13T18:00 opciojaval,
_
linux lista - linux@mlf.linux.rulez.org
Sőt: ha órához akarod kötni és nem adott naphoz
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
iptables -I FORWARD -i eth0 -s xx.xx.xx.xx -m time --timestart 06:30:00
-j ACCEPT
iptables -I FORWARD -i eth0 -s xx.xx.xx.xx -m time --timestop 06:30:00
-j ACCEPT
Bár én még nm próbáltam hogy működik
In article 4a310e55.3020...@comp-net.hu,
Erdei-Gulyás Ferenc erdeigfer...@comp-net.hu writes:
Próbáld meg így:
Pl: iptables -I FORWARD -i eth0 -s xx.xx.xx.xx -m time --datestart
2009-06-13T18:00 -j ACCEPT
Kiss Gabor írta:
--match time --datestart 2009:06:13T18:00 opciojaval
a pppoe tudja használni)?
A gond az, hogy a pppoe nem ad az eth-nak ip-t, ezert az eth0:0
felvétele nem biztos, hogy a legjobb járható megoldás.
A második kérdés, hogy mit irjak az iptables-nek, hogy az adott
címekre irányuló csomagokat direktbe a modemnek küldje, a pppoe-n
kívűl?
A weboldalon van
2009. január 26. dátummal gaborlinux ezt írta:
Szeretném elérni, hogy az adsl modem (sm50b) a belső hálózatról is
elérje az adsl-el modemet. De jelenleg minden ip a pppoe -n át
Jó ronda megoldás: a (lan) switc-be dugod a modemet, meg a router wan
portját is ;-)))
(nálam volt így kötve régen,
Üdv mindenki.
Hivatalos iptables leírás szerint létezik egy ROUTE kapcsolo, paraméter,
... ,csak éppen patch kell hozzá.
Googleztam kicsit és rátaláltam a patch-o-matic -ra. Yo csak a legutolsó
nem tartalmazza a ROUTE patch -et.
A régiek meg nem mennek fel az új kernelre + nem ismerik az új
Erdei-Gulyás Ferenc (compnet) [EMAIL PROTECTED] writes:
Hivatalos iptables leírás szerint létezik egy ROUTE kapcsolo,
paraméter, ... ,csak éppen patch kell hozzá.
Már nem létezik.
Igen tudom használjam az iproute2 -őt.
Igen.
--
Feri
Hali,
Egy 2.6.22-es gepen make oldconfig-gal csinaltam egy ujabb, 2.6.25-os
kernelt. Fura modon az uj kernelben mintha elromlott volna a netfilter
connection tracking support, mert erre az iptables szabalyra
ujabban egyetlen csomag sem passzol:
iptables -A INPUT -m state --state ESTABLISHED
BEREGNYEI Balazs wrote:
Hali,
Egy 2.6.22-es gepen make oldconfig-gal csinaltam egy ujabb, 2.6.25-os
kernelt. Fura modon az uj kernelben mintha elromlott volna a netfilter
connection tracking support, mert erre az iptables szabalyra
ujabban egyetlen csomag sem passzol:
iptables
Szia,
Budacsik Attila wrote:
nf_conntrack modul be van töltve?
/proc/net/nf_conntrack-ban kellene lennie a kapcsolatoknak.
/proc/sys/net/netfilter/nf_conntrack_max
ebben van, hogy max mennyi kacsolatkövetést figyel
Modul betoltve, a kapcsolatok maximuma 4096,
tartományban).
iptables -ben nézegettem már egy pár dolgot de akadnak problémáim.
Teljesen jogosan hiába írányítom át a kéréseket ha a kérés más névhez,ip
-hez szól akkor a local apache nem válasszol.
Megoldásnak a squid -ra gondoltam. De nem találok leírást ami legalább
hasonló dologról szolna
Hi!
Szabo Istvan [EMAIL PROTECTED] írta 2008-06-13 13:41-kor:
Van -e valakinek egyéb ötlete, javaslata?
Kezdésnek rajzold le mégegyszer ezt az ábrát, amit egyszer már megtettél.
Valahogy nekem a mellékelt szöveg mentén sem sikerült a redundanciát
megtalálnom a két telephely vagy akármi
értettem. Feltételezve egy SDSL
hibát a telephely cliens gépein ne kelljen címeket átállítani, elég legyen
egy helyen. Erre voltak az alap ötletek:
1. Proxy rewrite modullal
2. Local DNS
Ezek helyett szerettem volna inkább iptables-es megoldást, ha lehetséges
egyáltalán. (Mivel nincs tapasztalatom
On Wed, Jun 18, 2008 at 02:07:54PM +0200, Szabo Istvan wrote:
On Wed, 18 Jun 2008, PÁSZTOR György wrote:
Kezdésnek rajzold le mégegyszer ezt az ábrát, amit egyszer már megtettél.
Akkor picit átrajzolom:
Telephely
|
|-
szerkeszteni, ami minden SDSL felé irányuló
kapcsolatot eltérít az Iroda felé.
Igen, DNAT-al lehet. Pl. a http forgalomra:
iptables -t nat -A PREROUTING --dst $SDSL_IP -p tcp --dport 80 \
-j DNAT --to-destination $IRODA_ADSL_IP
A --dport 80 nélkül a teljes tcp forgalmat arra tereli.
Ezután meg kell még
, akkor atirod a szabalyt,
ha megy, akkor meg visszairod.
Pont ez a kérdés, hogy ez van most minden cliensen alapnak beállítva
és azt szeretném, hogy szakadás esetén tudjak egy iptables szabályt
berakni a telephely kijárójára, ami eltéríti az SDSL felé irányuló
kérést az Iroda felé.
--
(O__
a rewrite nem igazán tetszik (mindamellett, hogy
cachelni _nagyon nem kellene_), sajnos voltak rossz tapasztalataim
(squid+jesred)
Van -e valakinek egyéb ötlete, javaslata?
Iptables-t preferálnám, ha azzal meg lehetne oldani, de ahhoz néhány
kulcsszót kérnék, ami mentén el tudnék indulni
On Fri, Jun 13, 2008 at 01:41:41PM +0200, Szabo Istvan wrote:
1. A telephelyen lokálisan egy DNS és cím alapján lehetne kapcsolódni. A
probléma ezzel csak az, hogy a windows/böngésző cacheli a címet és
emiatt reboot-ra lesz szükség.
Ez ugyan tisztan windowsos kerdes, de miert kellene?
On Fri, 13 Jun 2008, Kosa Attila wrote:
Ez ugyan tisztan windowsos kerdes, de miert kellene?
ipconfig/flushdns
Ezt nem ismertem, köszönöm a tippet.
Ettől még a clienseken dolgozó emberkéket nem szeretném ezzel
macerálni, jobb, ha Ők erről mit sem tudnak
--
(O__
Sziasztok!
A következőt szeretném megoldani:
Ha egy gép (Ubuntu LTS 6.06) a névfeloldás után az a.b.c.0/22 hálózatba
küldene kérést a 80-as vagy a 443-as portra, azt az a.b.c.d:8080-ra küldje!
Egy ideje már bénázok vele.
Előre is köszönöm a segítséget, észrevételeket!
Üdv,
Qvik
Pávlicz György írta:
A következőt szeretném megoldani:
Ha egy gép (Ubuntu LTS 6.06) a névfeloldás után az a.b.c.0/22 hálózatba
küldene kérést a 80-as vagy a 443-as portra, azt az a.b.c.d:8080-ra küldje!
iptables -t nat -A PREROUTING -i ethX -d a.b.c.0/22 -p tcp --dport 80 -j
REDIRECT
előző levél:
---
Thu, 14 Feb 2008 22:08:56 +0100 Gábor Lénárt
Re: iptables ismerkedés
---
On Thu, Feb 14, 2008 at 09:53:57PM +0100, Gádori Zsolt wrote:
No ezt az utolsó félmondatodat ha kicsit kifejtenéd. Úgy GY.K.
szinten. :-))
Most nem kotekedeskeppen, de ilyeneket megtalahatsz valami
hasznalhato a traceroute igazan egy
netfilterezett geprol :) Sorry a bena forgalmazasert es masoknak a
savszelessegert ... Ha erdekelnek ilyesmik, szerintem szerezz egy jo konyvet
v leirast a tcp/ip mukodeserol es hasonlok.
Amugy ha megnezed pl az iptables man oldalat ott is emlitenek par dolgot
előző levél:
---
Wed, 13 Feb 2008 21:48:00 +0100 Gábor Lénárt
Re: iptables ismerkedés
---
Jól gondolom?
Elvileg jol, sot icmp-re is, mert ugye annak sincs allapota de pl
hasonloan az udp-hez ha pl nyomsz egy icmp echo request-et egy cim
fele (nepies neven ping) akkor a valasz is vissza lesz
On Tue, 12 Feb 2008, Gábor Lénárt wrote:
On Tue, Feb 12, 2008 at 06:11:24PM +0100, Gádori Zsolt wrote:
Igen, már mondták a kollégák is, hogy ez egy rossz megoldás. Ennek
következtében én arra gondoltam, hogy a szolgáltató IPcíméről engedem
csak be ezeket a csomagokat. Ez milyen ötlet? Mi a
Re,
On Wed, Feb 13, 2008 at 06:31:20PM +0100, Gádori Zsolt wrote:
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mer' ugye itt most csak a státust adtam meg a protokollt nem. Akkor
most jól gondolom, hogy a fenti sor mindkét (pontosabban az összes)
protokollra és az össze
előző levél:
---
Mon, 11 Feb 2008 18:57:19 +0100 BORBELY Zoltan
Re: iptables ismerkedés
---
Sziasztok!
On Mon, Feb 11, 2008 at 06:36:01PM +0100, Gádori Zsolt wrote:
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
En ilyet nem irnek, ilyenkor ugyanis a tamado az 53-as portrol
előző levél:
---
Mon, 11 Feb 2008 19:02:36 +0100 Gábor Lénárt
Re: iptables ismerkedés
---
Ok, de ez amit megadtal ez azt mondja, hogy elfogadsz BARMILYEN udp
csomagot ha a forrasport 53-as. Tehat en akar (udp) portscannelhetlek
is teged, ha forrasportkent 53-at mondok, de nem fogod
Re,
On Mon, Feb 11, 2008 at 06:36:01PM +0100, Gádori Zsolt wrote:
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
parancsok, egyből megszűnt a log áradat. Legalábbis a portokból erre
következtetek, remélem nem lesz meglepetés.
Ok, de ez amit
Sziasztok!
On Mon, Feb 11, 2008 at 06:36:01PM +0100, Gádori Zsolt wrote:
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
En ilyet nem irnek, ilyenkor ugyanis a tamado az 53-as portrol
a gepeden futo barmilyen udp szolgaltatast elerhet. A DNS valaszt
teljesen jol lekezelheted a state
Szia!
Megfejtettem, hogy mi volt az a rengeteg üzenet. A DNS szerver próbált
kommunikálni valami külső szerverrel. Amint elhangzottak a
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
parancsok, egyből megszűnt a log áradat. Legalábbis a portokból
:
***
#!/bin/sh
CSATOLO=eth0
IPTABLES=/sbin/iptables
#minden eddigi szabály kukába
$IPTABLES --flush
#ha semmire sem illeszkedik akkor kuka
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
#a loopback interafcen mindent lehet
$IPTABLES -A INPUT -i lo -j ACCEPT
Gádori Zsolt wrote:
Megfaragtam (?) életem első tűzfalát. Most az volna a kérésem, hogy
akinek van kedve olvassa át a kódot. A végén lenne egy kérdésem, meg
persze kíváncsi volnék minden szakmai tanácsra is. Próbáltam
kommentezni hogy mi volt a szándékom egy adott paranccsal.
#udp
$IPTABLES
gt;csinál. Nagyjából értem is, de még mindig fenn áll az a hiba, hogy
gt;bizonyos külső szolgáltatásokat nem lehet elérni.
gt;A szerver gond nélkül routolja a netet a belső hálóra, de néhány
gt;szolgáltatás időtúllépés miatt elérhetetlen. Ilyen például a külső
gt;POP3, SMTP szolgáltatás, illetve
Szia!
ha jol latom ezek a szabalyok hianyoznak neked:
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25
-j DNAT --to-destination CEL_IP1
...
-A FORWARD -i ppp0 -d CEL_IP1 -p tcp -m tcp
--dport 25 -j ACCEPT
Ezek szerint nekem fel kell vennem külön-külön az összes megnyitni és
használni kívánt
Bocsi, most olvastam, mekkora marhaságot kérdeztem... A FORWARD láncon
simán kihagyom a destination IP-t :)
Remélem működni fog, ma du. kipróbálom!
Bazsi
_
linux lista - linux@mlf.linux.rulez.org
Szia!
Átnéztem az ajánlott IPtables leírást, próbáltam megérteni, de azt
hiszem túlnő rajtam a feladat.
Az Easy Firewall Generator-ral készítettem egy scriptet, ami elvileg
megfelelne az igényeimnek, és ezt igyekeztem is megérteni, hogy mit is
csinál. Nagyjából értem is, de még mindig fenn áll
Szia,
nagyon szépen köszönöm a segítséged. A mai nap folyamán letesztelem a
rendszert a beállításokkal.
Egyébként a script nagy részét az Easy Firewall Generatorral
készítettem és azt igyekeztem a saját igényeimnek megfelelően
finom-hangolni...
Még 1× nagyon szépen köszönöm a segítséged és ha
a működését, ha látom a kész programot és tudom,
hogy mit csinál.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to kulso ip cime
Es a belso gep tud kommunikalni az internet barmely gepevel. Tovabb
ugy finomitod, ahogy akarod. A legjobb amugy, ha MASQUERADE-t
hasznalsz (man iptables).
Ez szerepel
Szia!
Köszi a választ. Ezt az oldalt nem olvastam, de ígérem átnézem...
Még 1× köszi!
Bazsi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
) de ha Web-et forwardolok
nem megy. még a webes RDP (tsweb) is müködik a windows2003-an de a sima http
nem :-(
a Debianrol siman ,megnyitom, a kérések pedig érkeznek a szerverhez (iptraf-al
nézem, meg Log-oltam az Iptables-t)
Probálkoztam a TCPDump-al de ez más sok nekem :-) magyarul nem tudom
Elnézést, de kicsit féradt vagyok ést elsőzör irok a levlistára.
de igaz, nem ezért nem muködik az portforward-om ? :-)
u.i.
a viccet félretéve, ennek van most következménye ? (nem kapják meg a lista
tagok, trash-be landolt,stb.) ?
Még 1xer elnézést.
Otto
Otto Szilagyi wrote:
Sziasztok
a 7111 es portot irányitom át a 192.168.0.21:80 -ra
iptables -A FORWARD -j ACCEPT -p tcp -s 0.0.0.0/0 --dport 7111
iptables -t nat -A PREROUTING -i $WAN_NIC -p tcp -s 0.0.0.0/0 --dport 7111 -j
DNAT --to 192.168.0.21:80
a forward-logok ezt mutatják
Sep 24
köszönöm.
Üdv
- Original Message
From: Mihaly Zachar [EMAIL PROTECTED]
To: Linux kérdések/válaszok linux@mlf.linux.rulez.org
Sent: Monday, September 24, 2007 5:36:21 PM
Subject: Re: iptables - portforward
Otto Szilagyi wrote:
Sziasztok
a 7111 es portot irányitom át a 192.168.0.21
Ezek szerint nem mennek keresztul ezek a csomagok az eth0-n ??
Csak azert kerdezem, mert a tcpdump mutat forgalmat ott is, habar most nem
remlik hogy melyek is voltak azok.
akkor ezt hetvegen kimerem, aztan meglatjuk.
gt;a -o kapcsolo arra az interfeszre illeszkedik, ahol el fogja hagyni a
On Wed, Jul 04, 2007 at 11:19:11PM +0200, Fried Zoltan wrote:
Egy furcsak kerdesem volna hozzatok. Volt egy problemam a
cimbeli parossal, de megoldodott. A leveliras kozben rajottem
mi javitotta meg, de pontosan nem ertem.
Es szerinted mi javitotta meg?
A szitu: van ket linux, mintketto
Kosa Attila írta:
On Wed, Jul 04, 2007 at 11:19:11PM +0200, Fried Zoltan wrote:
A megoldas a lenti ket sor kulonbsegeben van.
Ha a fenti modulok megis be voltak toltve, akkor meg a forward
agon nem engedted at a csomagokat, azert nem ment a dolog. De
ennek ellentmond az, hogy a http
Bocs, lehet hogy nem voltam egyertelmu, a modulok be voltak toltve,
a http mukodott, a monitor tenylet hazudott, ami kesobb le is esett.
A kerdesem inkabb az volt a hibabol levont konkluzio alapjan, hogy
mi a kulonbseg az eth0 es az adsl ppp0 interfaceja kozott a
csomagszures es csomagkezeles
On Thu, Jul 05, 2007 at 10:50:13AM +0200, Fried Zoltan wrote:
Bocs, lehet hogy nem voltam egyertelmu, a modulok be voltak toltve,
Szerintem nem voltal :)
Merre jarnak a csomagok, amikor kikuldom az inetre oket,
mi tortenik es mi nem az eth0-s inteface-en a csomagokkal.
tcpdump segitsegevel
Fried Zoltan wrote:
Merre jarnak a csomagok, amikor kikuldom az inetre oket,
mi tortenik es mi nem az eth0-s inteface-en a csomagokkal.
a -o kapcsolo arra az interfeszre illeszkedik, ahol el fogja hagyni a
csomag a geped, ez mar akkor eldol, amikor megkapod a csomagot (a
PREROUTING lanc
Sziasztok,
Egy furcsak kerdesem volna hozzatok. Volt egy problemam a
cimbeli parossal, de megoldodott. A leveliras kozben rajottem
mi javitotta meg, de pontosan nem ertem.
Szeretnek segitsegek kerni abban hogy mi javitotta meg.
A szitu: van ket linux, mintketto gyari etch.
az egyik natol az inet
Sziasztok!
Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az
iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52,
dhcp-vel kapott) ne blokkoljon szolgáltatást, de kifelé (eth0 -n ,ip
195.199.93.xxx) viszont a httpd 80 as, 443 -as és az ssh 22 -es portján
On Fri, Jan 26, 2007 at 05:02:39PM +0100, Hóbor István wrote:
Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az
iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52,
dhcp-vel kapott) ne blokkoljon szolgáltatást, de kifelé (eth0 -n ,ip
195.199.93.xxx
Gábor Lénárt írta:
On Fri, Jan 26, 2007 at 05:02:39PM +0100, Hóbor István wrote:
Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az
iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52,
dhcp-vel kapott) ne blokkoljon szolgáltatást, de kifelé (eth0 -n
Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az
iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52,
dhcp-vel kapott) ne blokkoljon szolgáltatást, de kifelé (eth0 -n ,ip
195.199.93.xxx) viszont a httpd 80 as, 443 -as és az ssh 22 -es portján
kívül
On Fri, Jan 26, 2007 at 05:21:58PM +0100, Hóbor István wrote:
iptables v1.3.5: Unknown arg `-i'
Try `iptables -h' or 'iptables --help' for more information.
Ez nem sikerült...
Ize :) Ez az '-i' termeszetesen nem magaban hasznalando, hanem sok mas
dologgal egyutt, ami maga leirja a szabalyt
Hat ha halokartyatol fugg, akkor ugye jelen esetben az iptables -i
kapcsolojat erdemes tanulmanyozni, lasd man iptables. Ezzek meg tudod
hatarozni hogy az adott szabaly melyik inteface-en bejovo csomagokra
vonatkozzon.
[EMAIL PROTECTED] /]# iptables -i
iptables v1.3.5: Unknown arg `-i
Sziasztok!
On Fri, Jan 26, 2007 at 05:02:39PM +0100, Hóbor István wrote:
Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az
iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52,
A tobbiek mar megirtak, hogy hol talalsz doksit az iptables
teljesul? Vagy esetleg egy
masik MASQUERADE szabaly elobb szerepel a POSTROUTING chainben, mint
ez, es illeszkedik a csomagokra? Mi az iptables -L -t nat -v -n
kimenete?
--
Zizi
- After all A. J. one does need to do something other than play World
of Warcraft.
- Um. Like what
A feltetel (192.168.0.0/16) teljesul, mert mas portok (22,25,110...)
elmaszkolodnak rendesen. A masquerade szabaly elott nincs semmilyen mas
szabaly. Ez benne az erdekes! Es egyaltalan nem ertem, hogy miert
nem maszkol bizonyos csomagokat.
Chris
_
.
Mi az iptables -L -t nat -v -n kimenete?
--
Zizi
- After all A. J. one does need to do something other than play World
of Warcraft.
- Um. Like what?
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo
Hello,
sajnos jol van beallitva. Az eth0 az alapertelmezett kijarat,
es arra is mennek. tcpdump mutatja is a csomagokat.
Chris
On 11/30/06, Krusó Krisztián [EMAIL PROTECTED] wrote:
Egy szabaly: -s 192.168.0.0/16 -o eth0 -j MASQUERADE
Ennek ellenere a legtobb olyan csomagot maszkolas nelkul
On 11/30/06, Krusó Krisztián [EMAIL PROTECTED] wrote:
Egy szabaly: -s 192.168.0.0/16 -o eth0 -j MASQUERADE
Ennek ellenere a legtobb olyan csomagot maszkolas nelkul
atengedi, aminek: sport 1024:65535 és dport 1024:65535 tcp
Kulon szabalyt betettem erre is, de alig nehanyat
maszkol belole.
Sziasztok,
adott egy 2.6.18-as kernellel ellátott debian 3.1-es
szerver, iptables 1.3.6-tal.(forrásból fordítva)
A gond az, hogy a nat tablaban van jo par masquerade
es sajnos nem minden csomagra hasznalja.
Egy szabaly: -s 192.168.0.0/16 -o eth0 -j MASQUERADE
Ennek ellenere a legtobb olyan
Sziasztok!
Van egy tuzfalszabaly file (iptables-save) hoogy lehet shorewall rules
fajlba konvertalni ezt?
Koszonettel:
Hose
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
In article [EMAIL PROTECTED],
Hose [EMAIL PROTECTED] writes:
Van egy tuzfalszabaly file (iptables-save) hoogy lehet shorewall rules
fajlba konvertalni ezt?
Esszel. :-)
A shorewall magasszintu leirast hasznal.
Fogalmazd meg ertelmes mondatokban, hogy kinek mit akarsz
engedni, aztan azt
MORE_F_TCP_PORTS=544 1755 2628 6881 81
A vegen direkt 81 van?
Udv.: Laci
--
Laszlo Baranyai [EMAIL PROTECTED]
Corvinus University of Budapest
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
: | cut -f1 -d\
` #külső IP cím
#regi szabalyok tĂľrlese
iptables -F
iptables --delete-chain
iptables -t nat -F
iptables -t nat --delete-chain
iptables -Z
#alapertelemzetten mindent eldob
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#visszahurkolo engedĂŠlyezĂŠse
iptables
On Thu, 25 May 2006, Zidarics Zoltan wrote:
az iptables -L meg is jeleniti:
DROP all -- 193.254.0.0/16 anywhere
Ez forward vagy input lancon van?
A mai kozvetlen abbol a tartomanybol jon, vagy valami kozvetiton at?
Ha utobbi, akkor az MTA-ban (vagy a spamfilterben) kell szurnod
iptables -L meg is jeleniti:
DROP all -- 193.254.0.0/16 anywhere
Ez forward vagy input lancon van?
A mai kozvetlen abbol a tartomanybol jon, vagy valami kozvetiton at?
Ha utobbi, akkor az MTA-ban (vagy a spamfilterben) kell szurnod.
Az input lancban van:
vili
On Thu, 2006-05-25 at 12:19 +0200, Zidarics Zoltan wrote:
Hello,
Opppsss!
Kiverte a szememet es nem vettem eszre :)
Azért nézz egy iptables -L -n -v -t is, mert lehet, hogy egy olyan
interfész forgalmára vonatkozik az az ACCEPT, ami mondjuk egy belső háló
felé néz. Mármint ugye, ha van
hello,
2006. május 25. 13.04 dátummal Salamon Attila ezt írta:
Opppsss!
Kiverte a szememet es nem vettem eszre :)
Azért nézz egy iptables -L -n -v -t is, mert lehet, hogy egy olyan
interfész forgalmára vonatkozik az az ACCEPT, ami mondjuk egy belső háló
felé néz. Mármint ugye, ha van
1 - 100 a 111 matches
Mail list logo