On 11.1.2008, at 13:47, Rok Potočnik wrote:
> Tle bi js izpostavu moznost, da paket filtrira tud interna masina...
> ni
> nujno, da imas firewall samo na strani routerja, lahko je na serverju
> samem...
>
> si pripravljen deliti izpis iptables-save komande iz obeh kist?
>
Na koncu sem spremeni
Tle bi js izpostavu moznost, da paket filtrira tud interna masina... ni
nujno, da imas firewall samo na strani routerja, lahko je na serverju
samem...
si pripravljen deliti izpis iptables-save komande iz obeh kist?
--
LP, Rok
___
lugos-list mailing l
Jah ne vem. Jaz tezko voham kako odprt/zaprt imas ti firewall in kaksna je
njegova default politika.
Daj se loti zadeve na zacetku, ne na koncu. Najprej se vprasaj kaj rabis -
luknjo skozi firewall do ene od notranjih masin. Potem se vprasaj kaj moras
narediti za to - glede na to da imas maskerado
On Jan 10, 2008, at 10:26 AM, Blaz Podrzaj wrote:
> Pri preroutingu v nat tabeli uporabi:
>
> -j DNAT --to-destination 192.168.0.10:22
>
> ...pri forwardingu v filter tabeli pa:
>
> -d 192.168.0.10 -p tcp -m tcp --dport 22 -j ACCEPT
>
> ...v kolikor imas forwarding kakor koli onemogocen.
>
> lp,B
Pri preroutingu v nat tabeli uporabi:
-j DNAT --to-destination 192.168.0.10:22
...pri forwardingu v filter tabeli pa:
-d 192.168.0.10 -p tcp -m tcp --dport 22 -j ACCEPT
...v kolikor imas forwarding kakor koli onemogocen.
lp,B
Quoting Bostjan Jerko <[EMAIL PROTECTED]>:
>
> On Jan 8, 2008, at
Boštjan Jerko wrote:
> On Jan 8, 2008, at 10:54 PM, Rok Potočnik wrote:
>> ja... al -A al pa se raje -I, ce mas pol kak restriktivn rule k
>> onemogoci da pride sploh kak paket do njega v tem chainu... lahk
>> posljes
>> izpisesk iptables-save (magar privat) pa da vidmo kaj se da narest.
>> Drgac
On Jan 8, 2008, at 10:54 PM, Rok Potočnik wrote:
>
> ja... al -A al pa se raje -I, ce mas pol kak restriktivn rule k
> onemogoci da pride sploh kak paket do njega v tem chainu... lahk
> posljes
> izpisesk iptables-save (magar privat) pa da vidmo kaj se da narest.
> Drgac pa potrebujes sledece po
Boštjan Jerko wrote:
> On 8.1.2008, at 12:52, Tadej Slemc wrote:
>
>> iptables -t nat -D PREROUTING -i eth0 -p tcp -m tcp --dport 1025 -j
>> DNAT --to-destination 192.168.0.10:1025
>>
>> nekaj takega bi moralo dlati
>>
>> T.
>>
>
> Verjetno -A PREROUTING, ampak mi ne deluje.
ja... al -A al pa se
On 8.1.2008, at 12:52, Tadej Slemc wrote:
> iptables -t nat -D PREROUTING -i eth0 -p tcp -m tcp --dport 1025 -j
> DNAT --to-destination 192.168.0.10:1025
>
> nekaj takega bi moralo dlati
>
> T.
>
Verjetno -A PREROUTING, ampak mi ne deluje.
LP,
Boštjan
*
mag./M.Sc. Boštjan
iptables -t nat -D PREROUTING -i eth0 -p tcp -m tcp --dport 1025 -j
DNAT --to-destination 192.168.0.10:1025
nekaj takega bi moralo dlati
T.
On Jan 8, 2008 12:49 PM, Boštjan Jerko <[EMAIL PROTECTED]> wrote:
> Živ!
>
> Vsake toliko časa naletim na nastavitve iptables in vmes celo zadevo
> pozabim
re
On Mon, 2007-10-22 at 08:38 +0200, Damir Dezeljin (dev) wrote:
> Kaksen hint (pa po moznosti se example :) ), kako identificirati tak
> promet?
Ja, to je problem ce nimas KLIPS 2.6 patcha, da bi imel dodatne ipsec
device nad katerimi izvajas filtering. V tvojem primeru se nekako lahko
pomagas
Damir Dezeljin (dev) wrote:
Hoj,
Use case:
- Imam povezana dva networka z uporabo OpenSWan IPSec implementacije
na Ubuntu
- left = 10.0.0.0/24
- right = 10.0.1.0/24
- RSA keys
- zunanji interface left = eth0; zunanji interface right = ppp0 (eth0)
- notranji interfaci = eth1
Z iptables bi
On Monday 22 of October 2007 08:38:52 Damir Dezeljin (dev) wrote:
> Z iptables bi rad filtriral promet in sicer tako, da bi vedel kaj
> prihaja preko VPN-ja in kaj iz interneta. Namrec NIMAM moznosti
> nastaviti anti-spoofing rulo. To pomeni, da lahko na zunanjem
> interfaceju (torej od ISP-ja) dob
Živjo!
Dne Saturday 24 June 2006 23:01 je Matevz Jekovec napisal(a):
> Hoj.
>
> Imam dve vprašanji glede mojega požarnega zidu na strežniku:
> 1) Strežnik mi obenem streže tudi DHCP. Če poženem
> $ iptables -P INPUT ACCEPT
> , odjemalci dobijo IP brez problema. Če pa dam $ iptables -p INPUT DROP
>
hmm, pa nebi uporabil ip toolsev za route pa si definiraš tabelce pa je to
to?
lp,
Marko
> Kako bi z iptables napisal skripto na routerju, ki bi ves promet iz eth2
> preroutala na drug router ip npr.192.168.11.2?
> Testiral sem z naslednjim ukazem pa mi ne uspe ravno najbolj
>
> iptables -t nat -
On 3/15/06, Mitja Sladovic <[EMAIL PROTECTED]> wrote:
> Jernej Vodopivec pravi:
> > meni se dopade shorewall, pa tudi firehol naj ne bi bil svoh
> >
> Meni shorewall ni bil všeč, ker ob zagonu naloži en cel kup modulov ...
> Bom pogledal še tale firehol.
V /etc/shorewall/modules mu poves, keri mod
Jernej Vodopivec pravi:
meni se dopade shorewall, pa tudi firehol naj ne bi bil svoh
Meni shorewall ni bil všeč, ker ob zagonu naloži en cel kup modulov ...
Bom pogledal še tale firehol.
Thanks.
___
lugos-list mailing list
lugos-list@lugos.si
http:
meni se dopade shorewall, pa tudi firehol naj ne bi bil svoh
lp
On 3/15/06, Mitja Sladovic <[EMAIL PROTECTED]> wrote:
> A pozna kdo kak zmogljiv GUI za iptables?
> Najraje bi imel takšnega, ki teče v konzoli in ne xwin...
___
lugos-list mailing list
lug
meni se je kar zazdelo, da zajec leži v tem grmu.
2006/1/3, Dalibor <[EMAIL PROTECTED]>:
Hvala!
mogoče kakšen konkreten primer za rešitev problema?!
Problem je conntrack. On si zapomni da je xy ip iz LAN omrezja
dostopal do dolocenega ipja na intetrnetu. On ne ve, kdaj je bila
poveza
2006/1/3, Dalibor <[EMAIL PROTECTED]>:
> Hvala!
> mogoče kakšen konkreten primer za rešitev problema?!
Problem je conntrack. On si zapomni da je xy ip iz LAN omrezja
dostopal do dolocenega ipja na intetrnetu. On ne ve, kdaj je bila
povezava prekinjena, zato pac caka, da prezivi TTL. Ce v tem casu
Hvala!
mogoče kakšen konkreten primer za rešitev problema?!
Jernej Simončič wrote:
On Tuesday, January 3, 2006, 10:21:56, Dalibor wrote:
Nekaj uporabnikov uporablja M$ pptp dostop do serverjev strank. Občasno
se zgodi, da se lahko samo eden poveže ostali pa ne, čeprav je ta
uporabnik preki
On Tuesday, January 3, 2006, 10:21:56, Dalibor wrote:
> Nekaj uporabnikov uporablja M$ pptp dostop do serverjev strank. Občasno
> se zgodi, da se lahko samo eden poveže ostali pa ne, čeprav je ta
> uporabnik prekinil povezavo.
Poizkusi v kernelu vklopit PPtP connection tracking (rabiš dovolj no
sej imam ampak nisem vsega skopiral :)
$IPTABLES -A FORWARD -d xxx.xxx.xxx.xxx -p tcp -m multiport --dport 1723
-j ACCEPT
$IPTABLES -A FORWARD -p udp --sport 500 --dport 500 -j ACCEPT
$IPTABLES -A FORWARD -p udp --sport 4500 --dport 4500 -j ACCEPT
$IPTABLES -A FORWARD -p ah -j ACCEPT
$IPTABLES -
Potrebuješ tcp port 1723 in gre protocol (47) namesto ah (51).
Borut
Dalibor wrote:
Imam beden problem, ki ga ne znam rešit!!!
Nekaj uporabnikov uporablja M$ pptp dostop do serverjev strank.
Občasno se zgodi, da se lahko samo eden poveže ostali pa ne, čeprav je
ta uporabnik prekinil povezavo
ReÅeno.
Firewall na drugem routerju je dopuÅÄal promet do DMZ le preko porta 22.
Vsem se zahvaljujem za pomoÄ in potrpeÅljivost.
Borut Mrak wrote:
On Friday 04 of February 2005 14:38, Dalibor wrote:
1. ta masina sluzi kot router in zato ves promet gre preko te masine.
zato je v forward pravilu.!
On Friday 04 of February 2005 14:38, Dalibor wrote:
> 1. ta masina sluzi kot router in zato ves promet gre preko te masine.
> zato je v forward pravilu.!?
> mail.xxx.si pa je v dmz na drugem routerju
> 2. pred tem ni nobenega pravila, ki bi metal pakete stran. Taka pravila
> dajem ponavadi na konec
1. ta masina sluzi kot router in zato ves promet gre preko te masine.
zato je v forward pravilu.!?
mail.xxx.si pa je v dmz na drugem routerju
2. pred tem ni nobenega pravila, ki bi metal pakete stran. Taka pravila
dajem ponavadi na konec.
Jure Koren wrote:
On Fri, 04 Feb 2005 10:06:20 +0100, Dal
On Fri, 04 Feb 2005 10:06:20 +0100, Dalibor <[EMAIL PROTECTED]> wrote:
> Imam rule:
> $IPTABLES -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport
> 20,21,80,119,143,443,995,32322 -j ACCEPT
>
> Vendar se ne morem povezati na sshd preko 32322 porta.
> tcpdump
> 09:57:11.253476 192.168.1.36.19
Zivjo!
> V čem je problem?? Vsi ostali porti so lepo dosegljivi. V primeru ko
> flusham vsa pravila stvar (očitno) dela. :)
Vse paketke (tudi izhodne), ki jih meces zdaj stran, preusmeri na
"drop-and-log", torej, zapisi v log, kaj si vrgel stran.
Nato se poskusi povezati, pa bos tocno videl, kje
> $IPTABLES -A FORWARD -d 202.222.246.122 -s 192.168.1.0/24 -p
> tcp -m multiport --dport 14345 -j ACCEPT
poskusi z -I namest -A
ponavadi je catch v tem, da morda ze pred tem rulom obstaja kaksen, ki ti dropa
paket
lp, rok.
___
lugos-list mailing list
On Monday, January 10, 2005, 12:28:57, Andrej Mršek wrote:
> Poznam predvsem e-mule in bittorent. Za Bittorent moraš en ali več
> portov forwardat (odvisno od odjemalca), da ti deluje v notranjem
> omrežju.
Ni res, praktično vsi P2P programi delujejo tudi brez port forwardinga,
vendar počasneje
Mislim da je tako, Mula dela tudi za firewallom, samo imas low ID,
bittorrent ne dela, kazaa dela, ostalih pa ne poznam.
Bittorrent port je 6881 default
Mula ima pa 4662 tcp in 4672 udp default
LP
Dalibor wrote:
za Kazaa sem siguren, da zna delati tudi preko porta 80
Matjaž Repnik wrote:
Oj,
Kako
Poznam predvsem e-mule in bittorent. Za Bittorent moraš en ali več
portov forwardat (odvisno od odjemalca), da ti deluje v notranjem
omrežju. Za mulo je prav tako priporočljivo porte forwardat, če ne imaš
t.i. low_id, kar pomeni, da so hitrosti prenosa bistveno nižje.
E-mule deuje na standardnih
za Kazaa sem siguren, da zna delati tudi preko porta 80
Matjaž Repnik wrote:
Oj,
Kakor je meni znano potrebuješ odpreti za p2p določene porte, kajti čez
port 80 p2p ne delujejo.
Emule ima 4661 in 4665, če se dobro spomnim. Bittorent ima spet druge
porte.
Lp
Svejk
Na koncu firewall skripte dodal uk
Oj,
Kakor je meni znano potrebuješ odpreti za p2p določene porte, kajti čez
port 80 p2p ne delujejo.
Emule ima 4661 in 4665, če se dobro spomnim. Bittorent ima spet druge
porte.
Lp
Svejk
Na koncu firewall skripte dodal ukaz
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j REJECT
in sedaj ne dela
Jaz sm se matral z prejsnimi ipchainsi za podobno zadevo.
Ker se mi ni dal studirat ipchainsov (tko k se teb ne da iptables)
sm poiskal en bl u izy program.Se najbolje se je obnesel:
portfwd - Port Forwarding Daemon
ki ga pomoje lahko najdes na freshmeatu.
Podpira vse mogoce, ne samo to kar ti ze
36 matches
Mail list logo
