Fórumok
Adott a következő probléma, debian squid stb.. tűzfal minden.
Az internetezést szabályozni tudom, sávszél, tiltani stb, de ha valaki Total Commanderrel egy FTP kapcsolatot csinál, előszőr is megkapja a max sávszélt, még akkor is ha a net tiltva van a gépéről. Hogy lehet ezt megakadályozni, vagy a sávszélt korlátozni? A portot nem tilthatom, mert müxik nálunk egy FTP szerver is...
Hozzászólások
Üdv!
Szerintem megoldható, ha OUTPUT-on tiltod a 21-est, kivéve a ti FTP-tek IP-je. Ugassatok le ha hülye vagyok, vagy félreolvastam valamit, de szerintem ennyi.
---
"A megoldásra kell koncentrálni nem a problémára."
Nekem a FORWARD láncban van engedélyezve az FTP forgalom, akkor most mit is kellene csinálni? :(
keresni valakit aki ert hozza, vagy normalisan kerdezni (hint: iptables konfig, ifconfig -a, netstat -r etc)
-. . - -... ... -..
Termeszetesen a FORWARD lancban kell tiltani.
"de ha valaki Total Commanderrel egy FTP kapcsolatot csinál, előszőr is megkapja a max sávszélt, még akkor is ha a net tiltva van a gépéről."
hogyan csinál kapcsolatot ha a "net tiltva van a gépéről" ? ;-)
kezdetben próbálj egy ilyet:
iptables -A FORWARD -p tcp -s belsohalo.ip.net.szama/24 --destination-port 21 -j DROP
persze itt azért több lehetőség is lehet ftp-zni ez csak egyfajta korlátozás...
Vagy használhatsz forgalomszabályozást is, hogy ne egye meg a teljes sávszálességet az ftp. Ez is segíthet.
Azért mert proxy van, tehát proxyn keresztül, ki tud menni a netre ha engedem, de ha nem FTPzni akkor is tud.
De letilthatod, csak (pl) elobb legyen egy olyan szabaly ami megengedi a sajat ftp szerveretket hasznalatat.
De, ha a topogoligaroil tobbet mondasz talan konkreteabb megoldast is tudunk mondani.
Van egy router gép, fel van húzva az eth0-ra 3 db fix ip cím, net, mail, ftp. Aztán ezek át vannak irányítva egy-egy belső gépre. Ftp-re mailra. De a munkaállomásokon nem szeretném endegni az FTP-t mert a köcsög kollégák fizetős filmeket húznak le és ftp-n keresztül. Közben pedig egy csomó anyagnak kéne jönnie a az ftp-nkre. A szépszóból meg nem értenek. Előszőr azt gondoltam korlátozom a sávszélt, de a drasztiukusabb érdekelne, hogy tiltsam.... persze a sajátunkat nem lőjem ki.
pl 192.168.100.13-as gépről szeretném tiltani a kifelé FTP-zést. Vagy az összesről és inkább engedélyezném ahonnan lehet.
iptables -A FORWARD -p tcp -s 192.168.100.13 --destination-port 21 -j REJECT
sajnos ez nem hatott... :( meg az ftpzés mint a villám..
igaz ne futtattam le a tűzfalat, hanem csak paracssorba írtam, de elvileg így is be kell hogy nyelje..
vazz... akkor tedd be -I vel, így-e:
iptables -I FORWARD -p tcp -s 192.168.100.13 --destination-port 21 -j REJECT
Na így már müxik. :) És ha az ipcím helyére 192.168.100.0/24-et írok akkor az egész belső hálóüra vonatkozik? De akkor kivételt hogy csinálok? Pl. a 49-es gépnek kellene engedni... ?
Beszúrod elé a FORWARD láncba:
iptables -I FORWARD -p tcp -s 192.168.100.49 --destination-port 21 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.100.0/24 --destination-port 21 -j REJECT
--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!
Köszönöm! :))) Minden müxik! :))
Pont forditva nem? ELobb inserteled a tiltast, utana az egy gepre az engedelyezest, mivel az engedelyezes elott mar matchelni fog a packet ergo nem fog menni az engedelyezett geprol.
Jaja, de én alapból fordítva írtam be a két sort, csak elfelejtettem szólni.. :) Logika kihozta. Még valami. LÉgyszíves még abban segítsetek, hogy pl a 36-os gépről szeretném engedélyezni xxx.yyy.zzz.vvv ip címre a FTPzést de csak oda.
iptables -I FORWARD -p tcp -s 192.168.100.36 -d xxx.yyy.zzz.vvv --destination-port 21 -j ACCEPT
Köszönet érte :)