- 485 megtekintés
Hozzászólások
Az output láncon engedélyezd első körben a DNS kifelé (udp/tcp 53), IPv4-en az icmp-t ha jól látom azonnal dobod.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Köszönöm szépen, megpróbálom. Tudom hogy eléggé bug-s amit "sikerült" összraknom.
__________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Szia!
Próbáld inkább leírni mit szeretnél iptablessel csinálni (mik az elképzeléseid), és megpróbáljuk összedobni, mert sajnos amit fel raktál több sebből vérzik.
- A hozzászóláshoz be kell jelentkezni
Szia!
Köszönöm a válaszokat.
Igen tudom hogy nem ideális ahogy össze lett rakva. Azt szeretném ami kritikus, hogy ne lehessen floodolni sehogyan sem, és kívülről pingelni sem lehessen. A kulcsos belépést megvalósítottam már és az ssh portot is átraktam a 2222 portra. Valamint kívülről csak azokat tcp udp portokat lehessen elérni ami feltétlenül szükséges.
Ha kell több infó kérlek jelezd, és köszönöm.
__________________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Ezek nem bonyolult igenyek, nem akarsz erre egy kenyelmesebb frontend-et hasznalni? En mindenhol Linuxos vasamon Shorewall-t hasznalok (100+ production szerver) es pillanatok alatt, kenyelmesen konfigolhato, nem utolso sorban attekintheto konfig-fileokkal, csak ajanlani tudom. Amit szeretnel, nagyjabol 2-3 perc osszedobni benne.
- A hozzászóláshoz be kell jelentkezni
Köszönöm, rendben, de most még a yum csomagkezelőm sem müködik. Akkor kezdetnek töröljem az iptables szabályokat és "disable" tiltsam az iptablest? És utána töltsem le a shorewall csomagot, konfigolásban segítenél? Illetve ha van még pár javaslatod, ómit lehetne még javítani a fent felsorolt opciókon kívül azt megköszönném.
_________________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Igen, toltsd le a Shorewall-t, majd konfigolas utan erdemes tiltani a most hasznalt iptables implementaciot (ha yum, akkor gondolom CentOS-t hasznalsz). Torolni szuksegtelen a szabalyokat, a Shorewall betoltese ugyis kiuti azokat. Tobb javaslatom is lenne, ha gondolod, keress meg email-ben, ha szeretned, be is konfigolom neked a Shorewall-t.
- A hozzászóláshoz be kell jelentkezni
Csak mivel nem tudja feloldani a linkeket faild re fut illetve most már más a hiba.
Másolom:
root@devall /etc/sysconfig# ping google.com
ping: google.com: Name or service not known
root@devall /etc/sysconfig# yum update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Could not retrieve mirrorlist http://mirrorlist.centos.org/?release=7&arch=x86_64&repo=os&infra=stock error was
14: curl#6 - "Could not resolve host: mirrorlist.centos.org; Unknown error"
Could not retrieve mirrorlist http://mirrorlist.centos.org/?release=7&arch=x86_64&repo=centosplus&inf… error was
14: curl#6 - "Could not resolve host: mirrorlist.centos.org; Unknown error"
One of the configured repositories failed (Unknown),
and yum doesn't have enough cached data to continue. At this point the only
safe thing yum can do is fail. There are a few ways to work "fix" this:
1. Contact the upstream for the repository and get them to fix the problem.
2. Reconfigure the baseurl/etc. for the repository, to point to a working
upstream. This is most often useful if you are using a newer
distribution release than is supported by the repository (and the
packages for the previous distribution release still work).
3. Run the command with the repository temporarily disabled
yum --disablerepo= ...
4. Disable the repository permanently, so yum won't use it by default. Yum
will then just ignore the repository until you permanently enable it
again or use --enablerepo for temporary usage:
yum-config-manager --disable
or
subscription-manager repos --disable=
5. Configure the failing repository to be skipped, if it is unavailable.
Note that yum will try to contact the repo. when it runs most commands,
so will have to try and fail each time (and thus. yum will be be much
slower). If it is a very temporary problem though, this is often a nice
compromise:
yum-config-manager --save --setopt=.skip_if_unavailable=true
Cannot retrieve metalink for repository: epel/x86_64. Please verify its path and try again
root@devall /etc/sysconfig#
így egyetlen egy csomagot sem tudok letölteni.:-(
Köszönöm írtam.
________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Egyik gépen én is kipróbáltam a shorewallt, aztán két dist-upgrade során kétszer állt fejre :) Pedig halál egyszerű konfiggal estem neki. Az első esetben kijavítottam, a másodiknál már nem vártam meg, kihajítottam, és áttértem nftablesre :) Ott legalább nem kell külön ipv6-tal foglalkozni, egyben vannak a szabályok.
- A hozzászóláshoz be kell jelentkezni
Ott a hibat az Ubuntuban keresnem. :D Csak viccelek, de nekem RHEL-vonalon az evek alatt meg egyszer sem volt problemam vele, soha, azert is szoktam itt is jo szivvel ajanlani. Az nftables-tol kiraz a hideg, amig lehet, elkerulom.
- A hozzászóláshoz be kell jelentkezni
Nem zárom ki, hogy a disztribúció kavart be, de nem Ubuntut használok :) (Debian)
- A hozzászóláshoz be kell jelentkezni
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
Ennel mire gondoltal? A feltetel elso fele az az hogy "ez nem egy uj befele iranyulo tcp-kapcsolat", csak statless modon megfogalmazva a tcp bit flag-ekkel. A masodik fele meg az hogy "ez egy uj befele iranyulo tcp kapcsolat". A ketto meg sosem lehet egyszerre igaz.
- A hozzászóláshoz be kell jelentkezni
Köszönöm a válaszokat és a javaslatokat, valoban az iptables kicsit már nehezkes, de "kaptam" segitseget és a javaslatok szerint nem iptablest fogok hasznalni.
___________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni