DC++ blokkolása a tűzfalon

No, úgy látszik, működik.

[quote:b9259bfefe="szucs_t"]Kedves távoli bejelentkezők!

Hogyan lehet az ipchainsben beállítani, hogy IP-cím helyett MAC-et figyeljen? Ha én az SSH-t egy adott MAC-ű gépről engedélyezni szeretném (és még két másik IP-címről, de az meg van), de máshonnan nem, akkor azt hogyan tehetem meg?

Köszönettel:

szucs_t

Hogyan lehet ipchainsszel vagy magában az sshconfigban engedélyezni MAC-címet?

Előző Vendég, bármelyik hubon elmagyarázzák Neked. (kinézel magadnak egy portot, tűzfalon forward TCP és UDP is, a kliensben meg ezt a portot kéred használni)

Nem ismerem az iptablest (még) :oops: :oops: de ha bele tud nézni a csomagba, akkor a "$Lock" stringet tartalmazó csomagokat kell eldobatni vele, mert akkor sehogy nem tudja létrehozni a kapcsolatot, se aktívan, se passzívan.

[quote:d79141d5af="drojid"]Előző Vendég, bármelyik hubon elmagyarázzák Neked. (kinézel magadnak egy portot, tűzfalon forward TCP és UDP is, a kliensben meg ezt a portot kéred használni)

Nem ismerem az iptablest (még) :oops: :oops: de ha bele tud nézni a csomagba, akkor a "$Lock" stringet tartalmazó csomagokat kell eldobatni vele, mert akkor sehogy nem tudja létrehozni a kapcsolatot, se aktívan, se passzívan.

Legjobb tudomásom szerint nem tud belenézni az már proxy lenne

Hogyan lehet ipchainsszel vagy magában az sshconfigban engedélyezni MAC-címet?

Sehogy.
Az iptables tud MAC szerint szurni, az ipchains nem.

[quote:ae316aa187="szucs_t"]Még egy hasonló témáju kérdésem: ha engedélyezek a belső hálózatról minden csomagot kívülre, akkor természetesen bentről elérem az Internetet. De ha ezt a mindencsomag engedélyezését kiremelem, akkor nem tudok behozni egy honlapot sem. Mit kell beállítani, hogy a kinti weblapokat bentről kukkanthassam?

attól, h kifele engedélyezed a netet (ezek szerint befele nem), TUTIRA nem fog működni, ui a válaszcsomagok tiltva vannak.

80-as portról érkező csomagokat a forward láncban engedélyezed, feltéve hogy nem a belső hálózatról származik.

Javallott : http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Igen, most már én is tudom :)

[quote:00f3f438ac="Anonymous"]Nekem pont ellenkező a problémám: milyen portokat kell beállítani a tűzfalon, hogy menjen a dc++? Hubra csatlakozni tudok, viszont keresni, letölteni nem.
Miért? Előre is kösz a válaszokat!

Áruló! :)

Én ezt raktam fel a céges tűzfalra egy kollégám megfékezésére: iptables-p2p

[quote:7bf018aa90="Panther"][quote:7bf018aa90="szucs_t"]Még egy hasonló témáju kérdésem: ha engedélyezek a belső hálózatról minden csomagot kívülre, akkor természetesen bentről elérem az Internetet. De ha ezt a mindencsomag engedélyezését kiremelem, akkor nem tudok behozni egy honlapot sem. Mit kell beállítani, hogy a kinti weblapokat bentről kukkanthassam?

attól, h kifele engedélyezed a netet (ezek szerint befele nem), TUTIRA nem fog működni, ui a válaszcsomagok tiltva vannak.

80-as portról érkező csomagokat a forward láncban engedélyezed, feltéve hogy nem a belső hálózatról származik.

Javallott : http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Köszi, az már meg van. A 0.0.0.0/0 helyett 0.0.0.0-t írtam, és az természetesen nem jó. Az SSH MAC-megadására van ötleted?

[quote:fadbfc6649="miq"]

Hogyan lehet ipchainsszel vagy magában az sshconfigban engedélyezni MAC-címet?

Sehogy.
Az iptables tud MAC szerint szurni, az ipchains nem.

És az SSH démonban sem lehet ilyemit beállítani? Mit tegyek olyan esetben, ha nincs fix IP-címe egy gépnek, de mégis meg akarom adni, hogy az, és csak az elérje az SSH-t?

[quote:36cd7ce2bf="szucs_t"][quote:36cd7ce2bf="miq"]

Hogyan lehet ipchainsszel vagy magában az sshconfigban engedélyezni MAC-címet?

Sehogy.
Az iptables tud MAC szerint szurni, az ipchains nem.

És az SSH démonban sem lehet ilyemit beállítani? Mit tegyek olyan esetben, ha nincs fix IP-címe egy gépnek, de mégis meg akarom adni, hogy az, és csak az elérje az SSH-t?

Az SSH nem támogtja a MAC szűrést, ugyanis az alkalmazási rétegben van (TCP/IP modell).

Tényleg fel kéne raknod egy 2.4-es vagy 2.6-os kernelt. A programoknak nem kellene észerevenniük a kernel cserét (csak a rebocit :)).

Ha ragaszkodsz a 2.2-eshez, akkor vhogy írnod kéne egy kerenl modult, ami MAC addressre szűr. (előbb gugli, hátha már van)

A kérdésemre a Linuxvilágban választ kaptam, hála a Könnyű álmok c. cikksorozatnak. 8)

[quote:4ffbb1201d="szucs_t"]Kedves Fórumozótársak!

Hol találhatok egy olyan listát, amiben a P2P-, IRC- és egyéb azonnali üzenetküldős, valamint egyéb letöltőprogramok és azok használt portjaikat tartalmazza? Trójaiakról már találtam. Az új internetes kiszolgálómon szeretnék néhány ilyet letiltani és naplózni.

Köszönöm a segítséget!

Tudtok ilyen listáról? Nagyon fontos lenne...

[quote:48293450b9="lacika"][quote:48293450b9="gee"]Hasonlo nekem is jo lenne.

De en nem eldobalni akarom, mert hallgatolagosan engedelyezett, hogy mindent lehet csinalni.
Csak van sok minden, ami fontosabb.

Tehat a kerdes: hogy lehet azonositani, hogy valami forgalom dc++ vagy mas ilyen letolto program kapcsolata, hogy aztan a savszelesseg korlatozasban jol csak az egyeb dolgok utan kovetkezhessenek?

Erre megint csak azt tudom írni, hogy ha sávszélességet korlátozol, akkor adj nagyobb prioritást a munkavégzéshez szükséges protokolloknak és a többit jelöld kisebb prioritással.

Cica! Pont ezt szeretnem csinalni, csak azt nem tudom, hogyan tudom megkulonboztetni a letoltest a tobbitol.
Az nem jarhato, hogy http es smtp megy, a tobbi meg alacsony prioritas, mert szamos olyan protokol port es stb. jatszik, ami mind kell a munkahoz.

[quote:01764fbfc1="szucs_t"][quote:01764fbfc1="szucs_t"]Kedves Fórumozótársak!

Hol találhatok egy olyan listát, amiben a P2P-, IRC- és egyéb azonnali üzenetküldős, valamint egyéb letöltőprogramok és azok használt portjaikat tartalmazza? Trójaiakról már találtam. Az új internetes kiszolgálómon szeretnék néhány ilyet letiltani és naplózni.

Köszönöm a segítséget!

Tudtok ilyen listáról? Nagyon fontos lenne...

cat /etc/services :lol:

Sziasztok!

Hogyan engedélyezhetem az FTP-hozzáférést kívülre és a szerverre is? Mi lehet az oka annak, hogy a 21-es portot engedélyezem (amin az FTP megy), mégis amikor egy kinti FTP-kiszolgálóra akarok csatlakozni, akkor PORT hibát ír ki? A saját szerveremre tudok FTP-zni.

[quote:98daedab7b="Anonymous"]Hi
próbáld meg proxyn (squid, dansguardian) keresztül letiltani, vagy még ha nem is tiltod le de szabályozni tudod hogy mi, mikor és milyen sebességgel jöjjön le, vagy hogy egyáltalán adott gép elérje-e a netet.

A dansguardianben van lehetőség a letöltés sebességének korlátozására, vagy a squid "delay pol"-jára gondoltatok ???

(Mert egy olyan tartalom szűrőt keresek amely képes sávszélesség-korlátozásra is)

plz help me :) thx

A patch-o-matic kernel patch-be van egy modul erre, nem próbálta valaki?

[quote:975dcb3092="dejo"]Van néhány kollégám aki pofátlanúl többszöri figyelmeztetés ellenére egész nap filmeket töltget le. 25 felhasználónak van egy 512/128-as ADSL kapcsolat megosztva, így mások a leveleiket is alig tudják letölteni.
Két lehetőségem van:
1.) a DC++ blokkolása a tűzfalon,
2.) szólok a főnöknek és kirúgja az illettőket.

Én jobban szeretném az első változatot.

Tehát hogyan lehetne a DC++-t blokkolni a tűzfalon?
A tűzfal jelenleg IPCop 1.3. De lehet hogy hamarosan kipróbálom az UHU-Tűzfalat ami a GPL-es zorp-on alapszik.

Ha tiltani akarod a DC-t, akkor iptables + P2Pwall a megoldás. Letölthető erről a címről: http://p2pwall.sourceforge.net A beállításáról magyarul is olvashatsz a Linuxvilág magazin 2003. decemberi számában.
Ha nem akarod tiltani, akkor tc-vel kifejezetten a kolléga IP címére beállítasz egy szűkítőt le- és feltöltési irányba is. Ez könnyű akkor, ha statikus IP címek vannak a hálózatban. DHCP-nél egy kicsit macerásabb, de a dhcp szervert is lehet úgy konfigurálni, hogy adott MAC címhez mindig ugyanazt a címet ossza ki, akkor meg már olyan, mintha statikus lenne :wink:

Kedves távoli bejelentkezők!

Hogyan lehet az ipchainsben beállítani, hogy IP-cím helyett MAC-et figyeljen? Ha én az SSH-t egy adott MAC-ű gépről engedélyezni szeretném (és még két másik IP-címről, de az meg van), de máshonnan nem, akkor azt hogyan tehetem meg?

Köszönettel:

szucs_t

Még egy hasonló témáju kérdésem: ha engedélyezek a belső hálózatról minden csomagot kívülre, akkor természetesen bentről elérem az Internetet. De ha ezt a mindencsomag engedélyezését kiremelem, akkor nem tudok behozni egy honlapot sem. Mit kell beállítani, hogy a kinti weblapokat bentről kukkanthassam?

A 0.0.0.0 vagy a 0.0.0.0/0 az ANY?

A web meg van, de az SSH még mindig érdekelne.

Na én kipróbáltam, és szépen blokkolja a dc-t, bár nemtom mennyire kijátszható a dolog..

Milyen segédeszközt ajánlanátok iptables beállítások kezelésére, illetve milyen tapasztalataitok vannak vele kapcsolatban?
(gondolok ilyenre mint guarddog stb.)

Én spec. nem akarok több időt tölteni otthoni gépem beállításaival, mint amennyi szükséges.

[quote:b25d14af86="ghost"][quote:b25d14af86="szucs_t"][quote:b25d14af86="szucs_t"]Kedves Fórumozótársak!

Hol találhatok egy olyan listát, amiben a P2P-, IRC- és egyéb azonnali üzenetküldős, valamint egyéb letöltőprogramok és azok használt portjaikat tartalmazza? Trójaiakról már találtam. Az új internetes kiszolgálómon szeretnék néhány ilyet letiltani és naplózni.

Köszönöm a segítséget!

Tudtok ilyen listáról? Nagyon fontos lenne...

cat /etc/services :lol:

Köszi, azt természetesen néztem, de abban nincs benne minden port, s pláne nem írnak le minden P2P programot. Egy-kettőt találtam. A trójaiak által használt portokat is természetesen megnézem a services állományban is, hogy ne tiltsak le olyat, amit nem akarok.

[quote:9e5dacce51="szucs_t"][quote:9e5dacce51="ghost"][quote:9e5dacce51="szucs_t"][quote:9e5dacce51="szucs_t"]Kedves Fórumozótársak!

Hol találhatok egy olyan listát, amiben a P2P-, IRC- és egyéb azonnali üzenetküldős, valamint egyéb letöltőprogramok és azok használt portjaikat tartalmazza? Trójaiakról már találtam. Az új internetes kiszolgálómon szeretnék néhány ilyet letiltani és naplózni.

Köszönöm a segítséget!

Tudtok ilyen listáról? Nagyon fontos lenne...

cat /etc/services :lol:

Köszi, azt természetesen néztem, de abban nincs benne minden port, s pláne nem írnak le minden P2P programot. Egy-kettőt találtam. A trójaiak által használt portokat is természetesen megnézem a services állományban is, hogy ne tiltsak le olyat, amit nem akarok.

ha tűzfal szabályokat írsz sokkal célravezetőbb olyan tűzfal ami alpbol nem enged át semmit csak amit te akarsz
máris megszünt a problémád

[quote:d44b530bfc="szucs_t"]A trójaiak által használt portokat is természetesen megnézem a services állományban is, hogy ne tiltsak le olyat, amit nem akarok.

Ez mar eleve rossz hozzaallas egy tuzfalkonfignal!
A helyes hozzaallas a "Ne engedelyezzek olyat, amit nem akarok!"

Vagyis alapbol letiltani mindent, es azt a nehany protokollt, ami hasznalatban van, azt engedelyezni.

Ghost kollega, nyertel egy perc elonnyel :)

Teljesen igazatok van, már holnap semmit sem engedélyezek alapban! De azért szeretném tudni a P2P portjait, hogy tudjam, mire figyeljek külön, hogy mit naplózhassak.

> -policy-k legyen drop legalabb a input es a forawardon

meg az outputon (egress filtering)

> -vedekezunk portscan ellen

szerintem kar a portscannekre idot pazarolni

> -a hala pingje ellen

vedekezik a halal, illetve a kernel

> -ssh-t bizt iprol es vagyl MAC rol nem 22 portra rakva hasznaljuk

a port atkonfiguralassa imho az StO kategoria

> - lo mindig accept

aztan miert? minimum a kulonbozo daemonok remote control portjait
illik vedeni (bind, ntp, ...)

> - kovetkezo?

en sokat hasznalom a condition es az owner matchet
de erdemes korulnezni a PoM-ban (netfilter.org)

[quote:60e89bdd1b="szucs_t"]Teljesen igazatok van, már holnap semmit sem engedélyezek alapban! De azért szeretném tudni a P2P portjait, hogy tudjam, mire figyeljek külön, hogy mit naplózhassak.

a p2p kkel az a nagy baj hogy pont ezt kerülik ki amit te akarsz
a fasttrack protokol roppant trüköss ugrál portrol portra meg ha nem megy tcp ugrik udp re ha ez sem megy akkor megy 80 as porton ...
szoval ez kemény dió

[quote:239f13df0b="szucs_t"]Teljesen igazatok van, már holnap semmit sem engedélyezek alapban! De azért szeretném tudni a P2P portjait, hogy tudjam, mire figyeljek külön, hogy mit naplózhassak.

Ezt portok alapjan soha nem fog sikerulni. Ott van pl. a Kazaa, ami a 80-as portot hasznalja, azt meg megsem tilthatod le.

Szerintem leginkabb az adatforgalom mennyisegenek a figyelesevel tudod elkapni, hogy melyik gepen megy p2p. A p2p ugyanis ketiranyu, es az meg igen-igen gyanus, ha egy kis kliensgeprol naponta 1-2 giga kifele meno adatforgalom van :)

[quote:caed185ce3="miq"][quote:caed185ce3="szucs_t"]Teljesen igazatok van, már holnap semmit sem engedélyezek alapban! De azért szeretném tudni a P2P portjait, hogy tudjam, mire figyeljek külön, hogy mit naplózhassak.

Ezt portok alapjan soha nem fog sikerulni. Ott van pl. a Kazaa, ami a 80-as portot hasznalja, azt meg megsem tilthatod le.

Szerintem leginkabb az adatforgalom mennyisegenek a figyelesevel tudod elkapni, hogy melyik gepen megy p2p. A p2p ugyanis ketiranyu, es az meg igen-igen gyanus, ha egy kis kliensgeprol naponta 1-2 giga kifele meno adatforgalom van :)

korábban emlitett iptables-p2p a megoldása ennek ö figyel az ilyesmikre csak nekem nem fordul le :(

van egy kis gondom a DC-vel,amióta megvan ez a legújabb verzió,nem megy.Persze szebb mint a régi volt,meg minden,de az legalább működött elsőre.
itt ezt vágja a fejemhez:
hublist, dctc and dctc_master are not found in the path,fix and restart the program

Nalunk is gondot okoz a DC, ezert en a kovetkezot csinaltam:
mindent tiltottam, aztan engedtem a http, https, ssh, ftp, pop3, icq, neptun, irc portokat
a sourceport:1024-65565 destport: 1024-65565 csomagokat atengedem de a shaperd programmal beszukitem a savszelesseget, igy nem veszik el a p2p programot a savszelesseget a szukseges programok elol. Azonban van egy kis gond ezzel, vannak a "fizetos-ftp" szerverek;) amelyek sorszor passzit ftp kapcsolatot tesznek csak lehetove es az is beleesik a szuresi tartomanyba.

Nahmarmost nekem anno ugy tanitottak, hogy a passziv ftp kapcsolatnal a szerver nem 2 protot hasznal(20:21), hanem csak egyet, azonban a tapasztalatom szerint a passziv ftp kapcsolat azt jeleni hogy az adat csomagok source es dest portja 1024:65565 koze esik, igy ezen szerverek ip-cimet kiszedtem a savszelessegkorlatozasbol, igy viszonylag megoldottnak tekintem a megoldast.

a DCGUI dckliensnek meg lehet adni egy portot es csak azt hasznalja, igy konnyen lehet szabalyozni, azonban meg nem lattam windowsos klienst, hogy az mit tudni.

[quote:aa88a0c103="Jonci"]Nalunk is gondot okoz a DC, ezert en a kovetkezot csinaltam:
mindent tiltottam, aztan engedtem a http, https, ssh, ftp, pop3, icq, neptun, irc portokat
a sourceport:1024-65565 destport: 1024-65565 csomagokat atengedem de a shaperd programmal beszukitem a savszelesseget, igy nem veszik el a p2p programot a savszelesseget a szukseges programok elol. Azonban van egy kis gond ezzel, vannak a "fizetos-ftp" szerverek;) amelyek sorszor passzit ftp kapcsolatot tesznek csak lehetove es az is beleesik a szuresi tartomanyba.

Nahmarmost nekem anno ugy tanitottak, hogy a passziv ftp kapcsolatnal a szerver nem 2 protot hasznal(20:21), hanem csak egyet, azonban a tapasztalatom szerint a passziv ftp kapcsolat azt jeleni hogy az adat csomagok source es dest portja 1024:65565 koze esik, igy ezen szerverek ip-cimet kiszedtem a savszelessegkorlatozasbol, igy viszonylag megoldottnak tekintem a megoldast.

a DCGUI dckliensnek meg lehet adni egy portot es csak azt hasznalja, igy konnyen lehet szabalyozni, azonban meg nem lattam windowsos klienst, hogy az mit tudni.

ftp helper nem oldja meg a bajodat ???

Kösz mindenkinek a tanácsokat! Nem szenvedek a trójaiak tiltásával egyesével, inkább mindent tiltok. Ezzel máris volt egy gondom. Még a gép előtt belépni sem tudtam a kiszolgálóra. Ha mindent alapban tiltok, akkor mit engedélyezzek alapban, ahhoz, hogy legalább bejelentkezni az internetre kijutni tudjak?

[quote:9fe1a4eda7="szucs_t"]Kösz mindenkinek a tanácsokat! Nem szenvedek a trójaiak tiltásával egyesével, inkább mindent tiltok. Ezzel máris volt egy gondom. Még a gép előtt belépni sem tudtam a kiszolgálóra. Ha mindent alapban tiltok, akkor mit engedélyezzek alapban, ahhoz, hogy legalább bejelentkezni az internetre kijutni tudjak?

Hat, ez attol is fugg, hogy mit hasznalsz authentikalasra. Pl. ha LDAP-ot, akkor nem art engedelyezni az LDAP forgalmat a auth.szerver fele :)

A leggyakoribb problema tuzfalkonfignal, hogy nem gondolnak arra, hogy a DNS-t is at kellene engedni. Kimeno TCP/UDP 53

En altalaban egy kliens sajat tuzalat ugy allitom be, hogy

KIFELE MEHET:
minden, ami ESTABLISHED
TCP/21 (ftp)
TCP/22 (ssh)
TCP/25 (smtp -- csak az SMTP-szerver fele)
TCP/53 (DNS -- azt hiszem csak a zonafile-transfer megy TCP-n)
UDP/53 (DNS)
TCP/80 (HTTP)
TCP/445 (HTTPS)
TCP/993 (IMAP-SSL)
UDP/993 (IMAP-SSL)
TCP/995 (POP3-SSL)
UDP/995 (POP3-SSL)
ICMP/echo-request (PING)
ICMP/timestamp-request (traceroute -I)

BEFELE JOHET:
minden, ami ESTABLISHED vagy RELATED
TCP/22 (ssh)

Es aztan erre jonnek a DoS,Portscan,IP-spoofing es egyeb mokak ellei vedekezesek, szukseg eseten quota-k, es egyeb inyencsegek, de az mar csak hab a tortan :)

Ja, es van meg egy tipikus hiba, ami gondot okozhat az authentikalas soran: ha nem gondolsz az lo-ra!
[code:1:8a149b3f95]
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
[/code:1:8a149b3f95]

[quote:555cbba47a="ghost"]ftp helper nem oldja meg a bajodat ???

bevallom, meg nem hallottam rola, de mar izzik a google:)
tobb iptables tutorial-t is atneztem mar regebben, de egyik sem emlitette ezt.

[quote:555cbba47a="miq"]Ja, es van meg egy tipikus hiba, ami gondot okozhat az authentikalas soran: ha nem gondolsz az lo-ra!

nem csak az authentikalas soran okozhat gondot, nekem az osszes szolgatas (dns, dhcp, apache, pop, stb.) megall szep lassan, idovel, ha le van tiltva az lo.

Nézegetem ezt a shaperd-t, de nem bolodgulok. Tudtok valahol egy angol nyelvű howto-t, én sehol sem találtam csak lengyelül. Az a nyelv meg még nincs meg:)

(Egyébként engemaz is érdekelne, megoldható-e egyetlen gépen, hogy adott p2p programnak csak a fele sávszélességet engedjük, a többin meg mehet a netelés. Talán külön userrel?)

üdv:
Szab

tuzfal.sh:
[code:1:4886f10e7e]$IPTABLES -P FORWARD ACCEPT
$IPTABLES -A FORWARD --protocol udp --source-port 1024:65535 --destination-port 1024:65535 --jump QUEUE
$IPTABLES -A FORWARD --protocol tcp --source-port 1024:65535 --destination-port 1024:65535 --jump QUEUE[/code:1:4886f10e7e]
/etc/shaperd/shaperd.conf:
[code:1:4886f10e7e]class kifele {
bandwidth = xx.x kbyte/s
ipv4 classifier saddr=192.168.x.x/255.255.255.0
queue limits = 0 kb 200 packets
}

class befele {
bandwidth = xxx.x kbyte/s
ipv4 classifier daddr=192.168.x.x/255.255.255.0
queue limits = 0 kb 200 packets
}[/code:1:4886f10e7e]
a queue limits-nel tudod allitani a csomag max meretet: 0kb = nincs meretkorlat
a 200 packets, hogy egyszerre 200 csomag allhat sorba, a tobbit eldobja

[quote:af5f5907f6="Panther"][quote:af5f5907f6="szucs_t"][quote:af5f5907f6="miq"]

Hogyan lehet ipchainsszel vagy magában az sshconfigban engedélyezni MAC-címet?

Sehogy.
Az iptables tud MAC szerint szurni, az ipchains nem.

És az SSH démonban sem lehet ilyemit beállítani? Mit tegyek olyan esetben, ha nincs fix IP-címe egy gépnek, de mégis meg akarom adni, hogy az, és csak az elérje az SSH-t?

Az SSH nem támogtja a MAC szűrést, ugyanis az alkalmazási rétegben van (TCP/IP modell).

Tényleg fel kéne raknod egy 2.4-es vagy 2.6-os kernelt. A programoknak nem kellene észerevenniük a kernel cserét (csak a rebocit :)).

Ha ragaszkodsz a 2.2-eshez, akkor vhogy írnod kéne egy kerenl modult, ami MAC addressre szűr. (előbb gugli, hátha már van)

Köszi, inkább áttérek a 2.4-esre. Végülis már a saját munkaállomásomon annak idején csináltam ilyet, s kis macerával, de ment. És már jól működik a szerver, úgyhogy beállítom egy új kernellel való indítást is beteszek -- már korábban elkezdtem, csak konfigurálgattam a dolgokat. Egyébként ugye az ipchainst is simán használhatom 2.4-es kernelen az iptables mellett?

[quote:a41a189923="Jonci"]tuzfal.sh:
[code:1:a41a189923]$IPTABLES -P FORWARD ACCEPT
[/code:1:a41a189923]

Jajjjj!!!!
Ami igy kezdodik, az mar nem tuzfal!
Ezen egy tankkal is at lehet menni.

Mindig elszomorodom, amikor valaki mutatja, hogy milyen tokos tuzfalconfigot csinalt, es hogy azon keresztul meg az xyz program is mukodik. Aztan megnezem a konfigot, es latom, hogy atenged MINDENT! :cry:

Ezt hivom en "epitsunk tuzfalat olajjal atitatott papirlapokbol" modszernek.

[quote:a3a1bec54c="dejo"]Van néhány kollégám aki pofátlanúl többszöri figyelmeztetés ellenére egész nap filmeket töltget le. 25 felhasználónak van egy 512/128-as ADSL kapcsolat megosztva, így mások a leveleiket is alig tudják letölteni.
Két lehetőségem van:
1.) a DC++ blokkolása a tűzfalon,
2.) szólok a főnöknek és kirúgja az illettőket.

Én jobban szeretném az első változatot.

Tehát hogyan lehetne a DC++-t blokkolni a tűzfalon?
A tűzfal jelenleg IPCop 1.3. De lehet hogy hamarosan kipróbálom az UHU-Tűzfalat ami a GPL-es zorp-on alapszik.

Úgy állítsd be iptabless -sal a tűzfalat, hogy pl. csaka http, ftp, imap pop3 imap-ssl pop3-ssl https és a munkához szükséges portokat engedd át. A többit logolhatod és utánna eldobhatod!.Ez nem jó?

Hasonlo nekem is jo lenne.

De en nem eldobalni akarom, mert hallgatolagosan engedelyezett, hogy mindent lehet csinalni.
Csak van sok minden, ami fontosabb.

Tehat a kerdes: hogy lehet azonositani, hogy valami forgalom dc++ vagy mas ilyen letolto program kapcsolata, hogy aztan a savszelesseg korlatozasban jol csak az egyeb dolgok utan kovetkezhessenek?

[quote:37c98ca218="Jonci"][quote:37c98ca218="ghost"]ftp helper nem oldja meg a bajodat ???

bevallom, meg nem hallottam rola, de mar izzik a google:)
tobb iptables tutorial-t is atneztem mar regebben, de egyik sem emlitette ezt.

[quote:37c98ca218="miq"]Ja, es van meg egy tipikus hiba, ami gondot okozhat az authentikalas soran: ha nem gondolsz az lo-ra!

nem csak az authentikalas soran okozhat gondot, nekem az osszes szolgatas (dns, dhcp, apache, pop, stb.) megall szep lassan, idovel, ha le van tiltva az lo.

Aha, szóvel ez lehet az oka annak, hogy egy idő után leterhelődik a webmail de kegyetlenül?

Ha az alábbit írom be 2.2-es magnál, az helyes?

ipchains -A input -s lo -j ACCEPT
ipchains -A output -s lo -j ACCEPT

[quote:abe5ee3167="miq"][quote:abe5ee3167="szucs_t"]Kösz mindenkinek a tanácsokat! Nem szenvedek a trójaiak tiltásával egyesével, inkább mindent tiltok. Ezzel máris volt egy gondom. Még a gép előtt belépni sem tudtam a kiszolgálóra. Ha mindent alapban tiltok, akkor mit engedélyezzek alapban, ahhoz, hogy legalább bejelentkezni az internetre kijutni tudjak?

Hat, ez attol is fugg, hogy mit hasznalsz authentikalasra. Pl. ha LDAP-ot, akkor nem art engedelyezni az LDAP forgalmat a auth.szerver fele :)

A leggyakoribb problema tuzfalkonfignal, hogy nem gondolnak arra, hogy a DNS-t is at kellene engedni. Kimeno TCP/UDP 53

En altalaban egy kliens sajat tuzalat ugy allitom be, hogy

KIFELE MEHET:
minden, ami ESTABLISHED
TCP/21 (ftp)
TCP/22 (ssh)
TCP/25 (smtp -- csak az SMTP-szerver fele)
TCP/53 (DNS -- azt hiszem csak a zonafile-transfer megy TCP-n)
UDP/53 (DNS)
TCP/80 (HTTP)
TCP/445 (HTTPS)
TCP/993 (IMAP-SSL)
UDP/993 (IMAP-SSL)
TCP/995 (POP3-SSL)
UDP/995 (POP3-SSL)
ICMP/echo-request (PING)
ICMP/timestamp-request (traceroute -I)

BEFELE JOHET:
minden, ami ESTABLISHED vagy RELATED
TCP/22 (ssh)

Es aztan erre jonnek a DoS,Portscan,IP-spoofing es egyeb mokak ellei vedekezesek, szukseg eseten quota-k, es egyeb inyencsegek, de az mar csak hab a tortan :)

LDAP-ot használok. A PING és a traceroute kivételével mindet engedélyeztem, amit leírtál. (Kivéve a lo-t.) Ezek feltétlenül szükségesek?Tudom, hogy igen hasznosak, de hogyan lehet kikerülni azt, hogy PING-áradattal ne terheljék le a masinát és a hálót?

És még egy fontos dolog: mit rontok el akkor, ha a rendszer felállása után nem tudok bejelentkezni root-ként (sem), a jelszó beírása után csak vár-vár? A lo nem engedélyezése?

[quote:91eaea1d22="gee"]Hasonlo nekem is jo lenne.

De en nem eldobalni akarom, mert hallgatolagosan engedelyezett, hogy mindent lehet csinalni.
Csak van sok minden, ami fontosabb.

Tehat a kerdes: hogy lehet azonositani, hogy valami forgalom dc++ vagy mas ilyen letolto program kapcsolata, hogy aztan a savszelesseg korlatozasban jol csak az egyeb dolgok utan kovetkezhessenek?

Erre megint csak azt tudom írni, hogy ha sávszélességet korlátozol, akkor adj nagyobb prioritást a munkavégzéshez szükséges protokolloknak és a többit jelöld kisebb prioritással.

[quote:357b957e8e="szucs_t"]
Ha az alábbit írom be 2.2-es magnál, az helyes?

ipchains -A input -s lo -j ACCEPT
ipchains -A output -s lo -j ACCEPT

Hu, eleg regen hasznaltam utoljara ipchains-t, ezert nem merem 100% biztosan mondani, de szerintem:
[code:1:357b957e8e]ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
[/code:1:357b957e8e]

A -s a source-ip megadasara szolgal. A -i az interface.

Egyebkent, ha csak nagyon komoly okod nincs a 2.2-es kernelfara, akkor szerintem terj at a 2.4-re, es az ipchains helyett az iptables-re. Tuzfalnal ez szinte kotelezo. Az iptables ugyanis tud allapotkovetest, es az nagyon-nagyon hasznos dolog.

[quote:4bafa9fbfd="miq"][quote:4bafa9fbfd="Jonci"]tuzfal.sh:
[code:1:4bafa9fbfd]$IPTABLES -P FORWARD ACCEPT[/code:1:4bafa9fbfd]

Jajjjj!!!!
Ami igy kezdodik, az mar nem tuzfal!
Ezen egy tankkal is at lehet menni.

sorry, siettem
raadasul ertelme sincs, mert ugye ACCEPT alapbol,
sza teljesen igazad van, DROP akart lenni
/minek ir aki nem tud gepelni:) legkozelebb copy-pastezom:)/

[quote:105eb8f841="szucs_t"][
LDAP-ot használok. A PING és a traceroute kivételével mindet engedélyeztem, amit leírtál. (Kivéve a lo-t.) Ezek feltétlenül szükségesek?Tudom, hogy igen hasznosak, de hogyan lehet kikerülni azt, hogy PING-áradattal ne terheljék le a masinát és a hálót?

Az LDAP-hoz meg a 389-es vagy a 636-os portra lesz szukseged kifele az LDAP-szerver iranyaba.
Ha a fent leirt modon konfigolsz, akkor nem fogsz PING-floodot kapni, mivel csak kifele engedelyezted a PING-et, befele pedig csak a valasz johet be ra, amit az ESTABLISHED statusszal engedelyezel.

Ehhez viszont szukseged lesz az iptables-re, az ipchains meg nem tudja ezt!

Tovabba az iptablesben vannak meg a limit, connlimit es a dstlimit modulok, amik segitsegevel jol ki lehet vedeni a tulterheleses tamadasokat.

És még egy fontos dolog: mit rontok el akkor, ha a rendszer felállása után nem tudok bejelentkezni root-ként (sem), a jelszó beírása után csak vár-vár? A lo nem engedélyezése?

Valoszinuleg a lo okozza. Nagyon alattomos dolgokat tud muvelni :)

Köszi mig! Teljesen igazad van, -i!

A pinges tanácsodat is megfogadom. Mindjárt állítom is! Ha nem írok vissza ide egyhamar, akkor valami grimbusz van a tűzfallal -- most itt élesben csinálom. :-)

[quote:bcf7cf4925="miq"][quote:bcf7cf4925="szucs_t"]
Ha az alábbit írom be 2.2-es magnál, az helyes?

ipchains -A input -s lo -j ACCEPT
ipchains -A output -s lo -j ACCEPT

Hu, eleg regen hasznaltam utoljara ipchains-t, ezert nem merem 100% biztosan mondani, de szerintem:
[code:1:bcf7cf4925]ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
[/code:1:bcf7cf4925]

A -s a source-ip megadasara szolgal. A -i az interface.

Egyebkent, ha csak nagyon komoly okod nincs a 2.2-es kernelfara, akkor szerintem terj at a 2.4-re, es az ipchains helyett az iptables-re. Tuzfalnal ez szinte kotelezo. Az iptables ugyanis tud allapotkovetest, es az nagyon-nagyon hasznos dolog.

A 2.4-es kernel egyértelműen jobb (a 2.6-os még inkább, de abban tudtommal a csomagszűrést nem kellett tovább javítani -- vagy igen?), de az oka, hogy még 2.2-est használok, hogy egy ilyen alapú disztribre építettem az egész internetes kiszolgálót. Van próbának már rajta 2.4-es mag, de még mindig vannak vele problémák. Ez jól működik, s ez a lényeg.

ha portot szűrsz, akár drop, akár sávszélkorlát, akkor azzal az abaj, hogy ezek a p2p cuccok képesek áttunelezni magukat bármin.

de talán kezdők ellen jó lesz. utánna meg talán proxy vagy zorp...

Innen :http://glindorf.linuxuser.hu/glinuxia/index.php le lehet tölteni egy jó kis IPTablest konfiguráló szkriptett (Letöltések/ipt-Firewall néven). Webezéshez, mail+web+icq+stb, tőkéletes. Én is ezt használom, igaz csak otthon, de alapbeállításban a DC-t blokkolja.

Kedves Fórumozótársak!

Hol találhatok egy olyan listát, amiben a P2P-, IRC- és egyéb azonnali üzenetküldős, valamint egyéb letöltőprogramok és azok használt portjaikat tartalmazza? Trójaiakról már találtam. Az új internetes kiszolgálómon szeretnék néhány ilyet letiltani és naplózni.

Köszönöm a segítséget!

A dc++ al az a nagy probléma hogy megy aktív és passiv módban is tehát tűzfal mögül gyakorlatilag visszahívja az illetőt direktben.
Szerintem a legegyszerübb ha csinálsz egy cron+perl srciptet ami letölti a dc++ hub listákat és azokra menő minden forgalmat blokkol. Ez mondjuk csak specifikus dc++ megoldás de biztosan működik mert a cliens program odáig se jut el hogy a hubra kapcsolódjon. Ha lesz időm :lol: :lol: :lol: :lol: Én is csinálok egy ilyen scriptet.

Ha jól gondolom, akkor neked traffic shaperre is szükséged van (tc-nek hívják). Már szórakoztam ilyesmivel, de nem egyszerű. A net-en lehet találni howto-t hozzá.

Hello!

Esetleg probalkozz ezzel, a tamogatott protokollok kozott ott szerepel a DC++ is. Meg nem probaltam ki, ugyhogy kivancsi lennek a tapasztalatodra.

http://l7-filter.sourceforge.net/

[quote:0227114206="szucs_t"]Egyébként ugye az ipchainst is simán használhatom 2.4-es kernelen az iptables mellett?

AFAIK csak akkor, ha mindkettot modulba teszed es egyszerre csak az egyik van bent a memoriaban.