Bocs ha nem tartozik ide, én shorewall-t pakoltam fel, ami szintén egy frontend szeru" valami.
Nekem ez jött be, pld. nem kell egyenként beírnom hogy kívülro"l nem jöhet be rfc 1918 szerinti csomag, stb stb.
Az ok, hogy iptables-el könnyu" megcsinálni egy scriptet - hát nekem nem.
Pld. itt van a köv. szabály, nekem eszembe se jutna kiadni:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j DROP
(ez állítólag arra van, hogy a tcp alapú kommunikáció tényleg beállított syn bittel kezdo"djön, valami Michael D. Bauer így gondolja legalábbis;))
Ilyen és ehhez hasonló szabályokat kitalálni - hát, inkább valami elo"tétprogram. Bízom benne hogy akik azt írják, azok értik a fenti sort is :)
Egy kerdesem lenne a Firestarter ertökhöz. Kiprobáltam. Azt sikerult megoldani uhu alatt, hogy elinduljon mint szolgaltatas. Az iptables -L szerint aktiv is ujrainditas utan is. Be is van allitva (Net kartya, internetmegosztas, Services nem kell, ICMP filtering minden, Tos kikapcsolva, Preferred packet rejection Deny). Na már most, mit is szűr pontosan ez a firestarter? Merthogy eddig mindent kiengedett a gepemrül kérdés nélkül (http, ftp, pop3 stb.). Az iptablabol itelve védi a gépet a gtk ablak nelkül is.
Ha rootken elinditom a GTK s felületét akkor mutatja a letiltott kapcsolodási kisérleteket és itt lehet ugye tiltani külön portokat, gepeket stb. Vagyis az a kérdés lényege, hogy most kezzel kell letiltani minden portot 1-6000-ig aztan kiengedni amit én akarok? De hat az cefet munka lenne, nem akarom elhinni egy felhasznalobarat tuzfalrol, hogy ezt akarná. (Mert ugye ha kezzel irok az iptáblába akkor azzal kezdem, hogy letiltok mindent aztan egyenkent átengedem ami kell nekem)
Nem nagyon ertek Angolul, ugy hogy lehet elsiklottam a doksiban valami felett.... Mert amugy meg tetszik a program otthonra jo lenne, de a doksijaban szerintem erröl emlités sincs.
Hát elöre is köszi, ha valaki elmagyarazza nekem ezt. Remelem valaki ismeri közelebbröl a progit. :oops:
[quote:6e50859c17="debby"]Az iptablabol itelve védi a gépet a gtk ablak nelkül is.
Mar meg ne vedene? Ha jol sejtem (bar nem tudom mi az a Firestarter) ez csak a grafikus frontend a netfilter/iptables-hez.
Azt hogy mi ellen ved es mit csinal, az iptables -L es az iptables -L -t nat parancsokkal tudod megnezni. Ja meg valami. Ha ram hallgatsz, akkor dobod ezeket a grafikus elotet programokat, es megtanulod fejbol azt a 3 parancsot, amellyel tetszoleges rulokat tudsz letrehozni az iptables parancs segitsegevel. Ha megerted hogyan mukodik, akkor nem fogsz elkeveredni benne. Inkabb irj kezzel egy szkriptet (kb. 5 perc, es csak egyszer kell jol megirni, modositani mar pillanatok muve).
Csatlakozom treyhez. Csak az első rule beírása tart 1-2 percig, a többi pillanatok műve, mert apró módosításokkal (port, IP-cím, stb átírásával) fel tudod vinni a többit.
igen ez egy grafikus felulet az iptableshez.
de az iptables -t filter -L -n
iptables -t nat -L -n
olyan cefet bonyolult szabalyrendszert tár fel - amit a firestarter szkriptje generalt, hogy annak a megertesehez keves vagyok. Azert kerdeztem, hatha tudja valaki mit is generál ez a kis aranyos.. Mert akkor visszafejthetnem mit szurtam el kezzel. Es addig is csetelhet a csemete.
En is szkriptet hasznaltam eddig, de mert nem nagyon ertek az iptablahoz nem tudom megoldani az UHU - a rout - ot. Ez a kütyü viszont gond nelkul routol, ugy hogy meg majd gondolkodnom kell rajta.
na mindegy irok sokat itt van:
------------------------------------------------------------------------------------------------------------------------------------------
ehun - e ezzel szerintem meg kéne indulni a forgalomnak, de nem megy a bitang. (marmint a belso halo fele, a belso halo jol van beallitva, mert a firestarterrel megy)
Routolas-rol vagy cimforditasrol (nat) van szo?
Gondolom nat-rol.
Internet-erelest szeretnel megosztani?
Mennyi kartya van a gepben? (eth0+eth2, mi az eth1?)
A belso gepeknek (ha tenyleg megosztasrol van szo) megadtad atjarokent a gep IP-jet?
[quote:be63b7e278="nyce"][quote:be63b7e278="mocsi"]Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Mindenhol :-)
Egyes szolgaltatok adnak belso IP-t.
nyce
Na az mekkora szemetseg. :( Az atlagfelhasznalo eszre sem veszi, viszont szep lassan ez lesz a norma. Ennyit az internet "mindenki egyenlo" filozofiajarol.
(Remelem csak tul soteten latom a dolgot, de teny, hogy vannak akiknek erdeke, hogy a 'net ne legyen tobb mint a 21. szazad TVje...)
csak peldanak irtam benne az IP cimeket. Csak a kartyak helyzete szamit irhattam volna eppen 10.0.0.0/255.0.0.0 ot is, de ha eccer ez jutott epp az eszembe .... :roll:
Internetmegosztas - NAT - rol van szo persze -- eth2 egy orinoco PCI kartya ezen jon be a net (wireless 2.4Ghz) - eth0 megy a benti gep fele. Belul minde jol van beallitva. Belso gep sajat IP cim OK, atjaro az en gepem eth0 kartyaja DNS a szolgaltatoe. Mondom, a firestarterrel megy rendesen minden. Csak idegesit, hogy nem tudom mit csinal pontosan. Egy kilometer iptables sort general a szentem. (marmint a firestarter) en meg szeretnem magam megirni. Probalgattam, gyujtogettem, mint latjatok az eredmeny szerint. Szerintem mukodnie kellene. De nem megy. Na majd olvasgatok tovabb.
Azert ha valaki hibat lat a szkriptben irja meg, hadd ne torjem tovabb a buksimat.
Ja az eth1 az csak arra van, hogy neha a noteszgepet radugom, ha netezni szeretnek rajta vagy. Az most nem szamit.
[quote:c602e2fe24="nyce"][quote:c602e2fe24="mocsi"]Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Mindenhol :-)
Egyes szolgaltatok adnak belso IP-t.
nyce
keress a guglin az ingress / egress szavakra.
[code:1:c602e2fe24]RFC 2267 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing[/code:1:c602e2fe24]
tehát ezért kell védeni a belső ipket is. és nem csak 192.x.x.x-et, hanem a többit is
a másik ok, ha nem otthon, hanem a cégnél vagy így tudod szűrni a céges háló forgalmát.
(a főnök nem tudja a gépedről letölteni a pornót, a cimbi iszont igen :))
[code:1:ba4069eb35]RFC 2267 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing[/code:1:ba4069eb35]
tehát ezért kell védeni a belső ipket is. és nem csak 192.x.x.x-et, hanem a többit is
Termeszetesen ugy ertettem, hogy egy NAT-ot vegzo gep mogott kapsz belso IP-t.
Tiszta sor, hogy belso IP-ket kulso interfeszen nem engedek be, feltelezve, hogy a kulso interfesznek publikus IP-je van. ;-)
[quote:612949e4c5="debby"]
# Modulok betoltese (ha esetleg kellene) uhuba betoltve az ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
ha ezek nincsnenek a kernelbe forditva.
lsmod milyen eredmenyt mutat?
nyce
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
megvan minden, ami kell a fene egye meg, mar nem jut ma semmi az eszembe.
Megjegyzem meg egy darabig hasznalnam az UHU t, mert amugy tetszik csak a KDE - t el ne inditsa az ember, mert az nagyon bugos.
Csak erre a NAT ra nem birok magamtol rajonni. Eddig csak egy gepunk volt. De hat en amugy is WMakert hasznalok...
Na de majd megoldom. Nem lehet itt nagy bibi, csak az hogy nem ertek hozza :cry: Tenyleg aprosag lehet amit elrontok, ha kutyüvel meg megy ...
SNAT -nak utanaolvasok. Kosz a tanacsot.
[quote:2d8d4f1798="mrbond"][quote:2d8d4f1798="nyce"]
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
miért is?
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
[quote:79101437db="Laja"]
Nekem ez jött be, pld. nem kell egyenként beírnom hogy kívülro"l nem jöhet be rfc 1918 szerinti csomag, stb stb.
Az ok, hogy iptables-el könnyu" megcsinálni egy scriptet - hát nekem nem.
Pld. itt van a köv. szabály, nekem eszembe se jutna kiadni:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j DROP
Meglatasom szerint a naplozasnal hasznos, hogy kulon-kulon szurod, es naplozod az ilyen csomagokat.
pl.:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j LOG --log-prefix "Uj, nem SYN csomag: "
[quote:9f9ed77ddb="nyce"][quote:9f9ed77ddb="mrbond"][quote:9f9ed77ddb="nyce"]
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
miért is?
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
Hozzászólások
man iptables ;-)
Udv: nyce
[quote:5c59bdfdd6="nyce"]man iptables ;-)
Udv: nyce
:oops:
Bocs ha nem tartozik ide, én shorewall-t pakoltam fel, ami szintén egy frontend szeru" valami.
Nekem ez jött be, pld. nem kell egyenként beírnom hogy kívülro"l nem jöhet be rfc 1918 szerinti csomag, stb stb.
Az ok, hogy iptables-el könnyu" megcsinálni egy scriptet - hát nekem nem.
Pld. itt van a köv. szabály, nekem eszembe se jutna kiadni:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j DROP
(ez állítólag arra van, hogy a tcp alapú kommunikáció tényleg beállított syn bittel kezdo"djön, valami Michael D. Bauer így gondolja legalábbis;))
Ilyen és ehhez hasonló szabályokat kitalálni - hát, inkább valami elo"tétprogram. Bízom benne hogy akik azt írják, azok értik a fenti sort is :)
Ti mit gondoltok erro"l ?
Laja
Egy kerdesem lenne a Firestarter ertökhöz. Kiprobáltam. Azt sikerult megoldani uhu alatt, hogy elinduljon mint szolgaltatas. Az iptables -L szerint aktiv is ujrainditas utan is. Be is van allitva (Net kartya, internetmegosztas, Services nem kell, ICMP filtering minden, Tos kikapcsolva, Preferred packet rejection Deny). Na már most, mit is szűr pontosan ez a firestarter? Merthogy eddig mindent kiengedett a gepemrül kérdés nélkül (http, ftp, pop3 stb.). Az iptablabol itelve védi a gépet a gtk ablak nelkül is.
Ha rootken elinditom a GTK s felületét akkor mutatja a letiltott kapcsolodási kisérleteket és itt lehet ugye tiltani külön portokat, gepeket stb. Vagyis az a kérdés lényege, hogy most kezzel kell letiltani minden portot 1-6000-ig aztan kiengedni amit én akarok? De hat az cefet munka lenne, nem akarom elhinni egy felhasznalobarat tuzfalrol, hogy ezt akarná. (Mert ugye ha kezzel irok az iptáblába akkor azzal kezdem, hogy letiltok mindent aztan egyenkent átengedem ami kell nekem)
Nem nagyon ertek Angolul, ugy hogy lehet elsiklottam a doksiban valami felett.... Mert amugy meg tetszik a program otthonra jo lenne, de a doksijaban szerintem erröl emlités sincs.
Hát elöre is köszi, ha valaki elmagyarazza nekem ezt. Remelem valaki ismeri közelebbröl a progit. :oops:
[quote:6e50859c17="debby"]Az iptablabol itelve védi a gépet a gtk ablak nelkül is.
Mar meg ne vedene? Ha jol sejtem (bar nem tudom mi az a Firestarter) ez csak a grafikus frontend a netfilter/iptables-hez.
Azt hogy mi ellen ved es mit csinal, az iptables -L es az iptables -L -t nat parancsokkal tudod megnezni. Ja meg valami. Ha ram hallgatsz, akkor dobod ezeket a grafikus elotet programokat, es megtanulod fejbol azt a 3 parancsot, amellyel tetszoleges rulokat tudsz letrehozni az iptables parancs segitsegevel. Ha megerted hogyan mukodik, akkor nem fogsz elkeveredni benne. Inkabb irj kezzel egy szkriptet (kb. 5 perc, es csak egyszer kell jol megirni, modositani mar pillanatok muve).
Csatlakozom treyhez. Csak az első rule beírása tart 1-2 percig, a többi pillanatok műve, mert apró módosításokkal (port, IP-cím, stb átírásával) fel tudod vinni a többit.
igen ez egy grafikus felulet az iptableshez.
de az iptables -t filter -L -n
iptables -t nat -L -n
olyan cefet bonyolult szabalyrendszert tár fel - amit a firestarter szkriptje generalt, hogy annak a megertesehez keves vagyok. Azert kerdeztem, hatha tudja valaki mit is generál ez a kis aranyos.. Mert akkor visszafejthetnem mit szurtam el kezzel. Es addig is csetelhet a csemete.
En is szkriptet hasznaltam eddig, de mert nem nagyon ertek az iptablahoz nem tudom megoldani az UHU - a rout - ot. Ez a kütyü viszont gond nelkul routol, ugy hogy meg majd gondolkodnom kell rajta.
na mindegy irok sokat itt van:
------------------------------------------------------------------------------------------------------------------------------------------
ehun - e ezzel szerintem meg kéne indulni a forgalomnak, de nem megy a bitang. (marmint a belso halo fele, a belso halo jol van beallitva, mert a firestarterrel megy)
-------------------------------------------------------------------------------------------------------------------------------------------
#!/bin/sh
# Tovabbitas letiltasa
echo 0 > /proc/sys/net/ipv4/ip_forward
LAN_IP_NET='192.xxx.x.x/24' #belsohalo
LAN_NIC='eth0'
WAN_IP='192.xxx.xxx.xxx' #kulsohalo
WAN_NIC='eth2'
# Modulok betoltese (ha esetleg kellene) uhuba betoltve az ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Maszkolj es kuld tovabb
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 22 # ssh szerver engedelyezese
# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Tovabbitas engedelyezese
echo 1 > /proc/sys/net/ipv4/ip_forward
---------------------------------------------------------------------------------------------------------------------------------------------
lát valaki benne hibát ????????????????
Haliho!
http://www.szabilinux.hu/iptables/index.html
Tobbek kozt a fenti cimen is talalsz leirast.
Udv. nyce
Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Nem igazan ertem.
Routolas-rol vagy cimforditasrol (nat) van szo?
Gondolom nat-rol.
Internet-erelest szeretnel megosztani?
Mennyi kartya van a gepben? (eth0+eth2, mi az eth1?)
A belso gepeknek (ha tenyleg megosztasrol van szo) megadtad atjarokent a gep IP-jet?
nyce
[quote:a0a117189b="mocsi"]Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Mindenhol :-)
Egyes szolgaltatok adnak belso IP-t.
nyce
[quote:be63b7e278="nyce"][quote:be63b7e278="mocsi"]Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Mindenhol :-)
Egyes szolgaltatok adnak belso IP-t.
nyce
Na az mekkora szemetseg. :( Az atlagfelhasznalo eszre sem veszi, viszont szep lassan ez lesz a norma. Ennyit az internet "mindenki egyenlo" filozofiajarol.
(Remelem csak tul soteten latom a dolgot, de teny, hogy vannak akiknek erdeke, hogy a 'net ne legyen tobb mint a 21. szazad TVje...)
csak peldanak irtam benne az IP cimeket. Csak a kartyak helyzete szamit irhattam volna eppen 10.0.0.0/255.0.0.0 ot is, de ha eccer ez jutott epp az eszembe .... :roll:
LAN_IP_NET='192.xxx.x.x/24' #belsohalo
LAN_NIC='eth0'
WAN_IP='192.xxx.xxx.xxx' #kulsohalo
WAN_NIC='eth2'
Internetmegosztas - NAT - rol van szo persze -- eth2 egy orinoco PCI kartya ezen jon be a net (wireless 2.4Ghz) - eth0 megy a benti gep fele. Belul minde jol van beallitva. Belso gep sajat IP cim OK, atjaro az en gepem eth0 kartyaja DNS a szolgaltatoe. Mondom, a firestarterrel megy rendesen minden. Csak idegesit, hogy nem tudom mit csinal pontosan. Egy kilometer iptables sort general a szentem. (marmint a firestarter) en meg szeretnem magam megirni. Probalgattam, gyujtogettem, mint latjatok az eredmeny szerint. Szerintem mukodnie kellene. De nem megy. Na majd olvasgatok tovabb.
Azert ha valaki hibat lat a szkriptben irja meg, hadd ne torjem tovabb a buksimat.
Ja az eth1 az csak arra van, hogy neha a noteszgepet radugom, ha netezni szeretnek rajta vagy. Az most nem szamit.
[quote:c602e2fe24="nyce"][quote:c602e2fe24="mocsi"]Mo-n eleg ritka a 192.-es C osztalybeli publikus IP cim.
Mindenhol :-)
Egyes szolgaltatok adnak belso IP-t.
nyce
keress a guglin az ingress / egress szavakra.
[code:1:c602e2fe24]RFC 2267 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing[/code:1:c602e2fe24]
tehát ezért kell védeni a belső ipket is. és nem csak 192.x.x.x-et, hanem a többit is
a másik ok, ha nem otthon, hanem a cégnél vagy így tudod szűrni a céges háló forgalmát.
(a főnök nem tudja a gépedről letölteni a pornót, a cimbi iszont igen :))
[quote:ba4069eb35="mrbond"]
keress a guglin az ingress / egress szavakra.
[code:1:ba4069eb35]RFC 2267 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing[/code:1:ba4069eb35]
tehát ezért kell védeni a belső ipket is. és nem csak 192.x.x.x-et, hanem a többit is
Termeszetesen ugy ertettem, hogy egy NAT-ot vegzo gep mogott kapsz belso IP-t.
Tiszta sor, hogy belso IP-ket kulso interfeszen nem engedek be, feltelezve, hogy a kulso interfesznek publikus IP-je van. ;-)
nyce
[quote:612949e4c5="debby"]
# Modulok betoltese (ha esetleg kellene) uhuba betoltve az ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
ha ezek nincsnenek a kernelbe forditva.
lsmod milyen eredmenyt mutat?
nyce
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
megvan minden, ami kell a fene egye meg, mar nem jut ma semmi az eszembe.
Megjegyzem meg egy darabig hasznalnam az UHU t, mert amugy tetszik csak a KDE - t el ne inditsa az ember, mert az nagyon bugos.
Csak erre a NAT ra nem birok magamtol rajonni. Eddig csak egy gepunk volt. De hat en amugy is WMakert hasznalok...
Na de majd megoldom. Nem lehet itt nagy bibi, csak az hogy nem ertek hozza :cry: Tenyleg aprosag lehet amit elrontok, ha kutyüvel meg megy ...
SNAT -nak utanaolvasok. Kosz a tanacsot.
[quote:ea07d11756="debby"]
# Maszkolj es kuld tovabb
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
Lehet, hogy szukseges megadni a be- es kimeno interfeszeket.
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -i $LAN_NIC \
-o $WAN_NIC -j MASQUERADE
A kimenot szinte biztos.
Egyebkent a SNAT ennyi lenne:
-j SNAT --to-source $WAN_IP
nyce
[quote:5a111a1e32="nyce"]
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
miért is?
[quote:2d8d4f1798="mrbond"][quote:2d8d4f1798="nyce"]
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
miért is?
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
nyce
[quote:79101437db="Laja"]
Nekem ez jött be, pld. nem kell egyenként beírnom hogy kívülro"l nem jöhet be rfc 1918 szerinti csomag, stb stb.
Az ok, hogy iptables-el könnyu" megcsinálni egy scriptet - hát nekem nem.
Pld. itt van a köv. szabály, nekem eszembe se jutna kiadni:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j DROP
Meglatasom szerint a naplozasnal hasznos, hogy kulon-kulon szurod, es naplozod az ilyen csomagokat.
pl.:
iptables -A INPUT -p tcp ! -syn -m state -state NEW -j LOG --log-prefix "Uj, nem SYN csomag: "
Udv: nyce
[quote:9f9ed77ddb="nyce"][quote:9f9ed77ddb="mrbond"][quote:9f9ed77ddb="nyce"]
ui.: egyebkent, ha fix IP-t hasznalsz kifele, erdemes SNAT-ot hasznalni a MASQ helyett.
miért is?
MASQUERADE
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
nyce
thanks
egyébként honnan a fenti idézet?