IPTABLES help!

Linux-haladó

IPTABLES help!

  • 792 megtekintés

( balage2 | 2004. 05. 13., cs – 17:50 )

[quote:44da9a8186="mocsi"][quote:44da9a8186="balage2"]Hi mindenkinek!
Szükségem lenne 4 db szkriptre?

1. szkript: Minden IP-rol nyeljen el minden PING-et, ami a szerveremre jön.
2. szkript: Törli az első bejegyzést, ha mégis szükségem lenne a pingre, ha távolról meg szeretném nézni, hogy be van e kapcsolva.
3. szkript: Van egy gagyi barátom aki mindenféle netrol leszedett hacker progikat szed le és azzal próbál okos lenni.A szkript azt csinalja, hogy minden kérést, kapcsolatot elnyel egy bizonyos IP-rol.
4. szkrip: azt csinalja, mint a masodik csak eppen a 3. szkripttel.

Nekek az lenne az otletem a torlo szkripekket, hogy ki greppeli a szkript szavait és azt adja be az IPTABLES-nek.

Muszaj Iptables? Sokkal egyszerubb IMHO a sysctl vagy pl az echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all majd "0"-val vissza allitod. Persze ha meg a devfs-t hasznalod a'la 2.4.x kernel.

Nagyon kosz!
jol bevalt es muxik.

( mrbond | 2004. 05. 13., cs – 18:43 )

szvsz rtfm. van magyarul is. nagyon tanulságos...

( balage2 | 2004. 05. 12., sze – 17:52 )

Hi mindenkinek!
Szükségem lenne 4 db szkriptre?

1. szkript: Minden IP-rol nyeljen el minden PING-et, ami a szerveremre jön.
2. szkript: Törli az első bejegyzést, ha mégis szükségem lenne a pingre, ha távolról meg szeretném nézni, hogy be van e kapcsolva.
3. szkript: Van egy gagyi barátom aki mindenféle netrol leszedett hacker progikat szed le és azzal próbál okos lenni.A szkript azt csinalja, hogy minden kérést, kapcsolatot elnyel egy bizonyos IP-rol.
4. szkrip: azt csinalja, mint a masodik csak eppen a 3. szkripttel.

Nekek az lenne az otletem a torlo szkripekket, hogy ki greppeli a szkript szavait és azt adja be az IPTABLES-nek.

( Névtelen (nem ellenőrzött) | 2004. 05. 12., sze – 18:07 )

huhhh, .....:))))

icmp azaz ping eldobására ezt javaslom ha

iptables -P INPUT DROP

akkor nagyon egyszerű nem oldod fel pl. így:

iptables -A INPUT -p icmp -j ACCEPT , ezt ne ird be ha nem akarod fogadni a pingeket !

de ha

iptables -P INPUT ACCEPT ami nagy hiba, akkor

iptables -A INPUT -p icmp -j DROP, ezzel le is tiltottad a beérkező icmp-t.

( Névtelen (nem ellenőrzött) | 2004. 05. 12., sze – 19:26 )

én így csinálnám:

[code:1:f46e957854]
iptables -P INPUT DROP

iptables -N szkript_szabalyok
iptables -F szkript_szabalyok

iptables -A INPUT szkript_szabalyok

ide pedig az állandó szabályok
...
[/code:1:f46e957854]

és akkor írnék egy bash-szkriptet, pl.:
[code:1:f46e957854]
#!/bin/bash

if [ $# != 0 ]
then

if [ $1 = "ping" ]
then

$IPTABLES -A szkript_szabalyok -s $2 -j DROP

echo -e "\n Minden forgalmat eldob innen: $2 \n "
exit 0
fi

if [ $1 = "torol" ]
then

$IPTABLES -F szkript_szabalyok

echo -e "\nMinden szabaly torolve\n"
exit 0

fi

fi
[/code:1:f46e957854]

használat ugye pl.:

szkript ping nemnormalis.hu

( balage2 | 2004. 05. 12., sze – 19:36 )

[quote:aa978d9803="Anonymous"]kicsit összekevertem a dolgokat, szóval ha a 'ping-et' adod meg paraméterként, akkor nem csak a pinget, hanem minden forgalmat letilt.
de ez persze csak példa akart lenni, értelemszerűen lehet bővíteni.

amúgy ha nem ismernéd:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Kosz nagyon kisegítettél mondhatom.
Sokat érek egy hónapos tanulással.
Nincs annyi időm.
Ezért kértem segítséget.

( anr | 2004. 05. 12., sze – 19:52 )

[quote:b9da979065="balage2"]
Kosz nagyon kisegítettél mondhatom.
Sokat érek egy hónapos tanulással.
Nincs annyi időm.
Ezért kértem segítséget.

Ilyekor segiteni szokott google. mintakat kell keresni nem nehez olyat talalni, ami neked kell, es akkor nem kell vegigtanulmanyoznod a iptables 160 oldalas dosijat. Egyebkent abbol is 1-2 ora alatt megtalalhato az erdekes resz.

( boobaa | 2004. 05. 12., sze – 19:54 )

[quote:2fcc6db686="balage2"]Kosz nagyon kisegítettél mondhatom.
Sokat érek egy hónapos tanulással.
Nincs annyi időm.
Ezért kértem segítséget.

Ha a fentiekhez egy hónap tanulásra van szükséged, akkor inkább fizess valakinek, aki megcsinálja neked. Ha pedig meg akarod tanulni a tűzfalazást, akkor arra egy hónap egyébként is kevés.

( vmiklos | 2004. 05. 12., sze – 19:57 )

[quote:d71b1b3cba="anr"]
Ilyekor segiteni szokott google. mintakat kell keresni nem nehez olyat talalni, ami neked kell, es akkor nem kell vegigtanulmanyoznod a iptables 160 oldalas dosijat. Egyebkent abbol is 1-2 ora alatt megtalalhato az erdekes resz.

hja, nem véletlen, hogy az rtfm nem a read the full manual rövidítése :D

( ranger | 2004. 05. 12., sze – 20:53 )

balage2 írta:

Kosz nagyon kisegítettél mondhatom.
Sokat érek egy hónapos tanulással.
Nincs annyi időm.
Ezért kértem segítséget.

Kezdő rendszergazdáknak a webmin-t szoktam javasolni :twisted:

http://www.webmin.com

Részben tud magyarul is :twisted:

Sajnos pont a tűzfal része nem :cry:

( Névtelen (nem ellenőrzött) | 2004. 05. 12., sze – 21:30 )

[quote:908ba32c08="boobaa"][quote:908ba32c08="balage2"]Kosz nagyon kisegítettél mondhatom.
Sokat érek egy hónapos tanulással.
Nincs annyi időm.
Ezért kértem segítséget.

Ha a fentiekhez egy hónap tanulásra van szükséged, akkor inkább fizess valakinek, aki megcsinálja neked. Ha pedig meg akarod tanulni a tűzfalazást, akkor arra egy hónap egyébként is kevés.

Már meguntam a segíségeidet.
Anyádék is inkább mentek volna moziba...
Bocs de már unlak.

( boobaa | 2004. 05. 12., sze – 21:48 )

[quote:fcbdb21286="bbes"]Már meguntam a segíségeidet.
Anyádék is inkább mentek volna moziba...
Bocs de már unlak.

1. Köszi a szívélyes szavakat; ha megengeded, nem fogadom meg őket.

2. Aki nonmoderátorként elküld, legalább annyira törje magát, hogy bejelentkezik, és ezzel vállalja az arcát.

3. Unod? Lapozz tovább.

4. Mégis elolvasod? Akkor megmutatom, miből tanultam sokat: http://nn1.no-ip.com/~imi/linux/BrainStorming/bash/fw/

Használd egészséggel.

( Névtelen (nem ellenőrzött) | 2004. 05. 12., sze – 22:06 )

Kedves boobaa - Ezer koszonet ezert a cimért !!!!!!!!!!!!!!!!!!!

http://nn1.no-ip.com/~imi/linux/BrainStorming/bash/fw/

Ilyesmit keresek mar hetek ota. THX :P

( borso | 2004. 05. 13., cs – 00:51 )

Hi mindenkinek!
Nekek az lenne az otletem a torlo szkripekket, hogy ki greppeli a szkript szavait és azt adja be az IPTABLES-nek.

Hasznalj condition variable-oket.

( balage2 | 2004. 05. 13., cs – 07:05 )

[quote:e8e9ad93f6="boobaa"][quote:e8e9ad93f6="bbes"]Már meguntam a segíségeidet.
Anyádék is inkább mentek volna moziba...
Bocs de már unlak.

1. Köszi a szívélyes szavakat; ha megengeded, nem fogadom meg őket.

2. Aki nonmoderátorként elküld, legalább annyira törje magát, hogy bejelentkezik, és ezzel vállalja az arcát.

3. Unod? Lapozz tovább.

4. Mégis elolvasod? Akkor megmutatom, miből tanultam sokat: http://nn1.no-ip.com/~imi/linux/BrainStorming/bash/fw/

Használd egészséggel.

Envoltam marmost nem azert

( mocsi | 2004. 05. 13., cs – 08:43 )

[quote:423d97ec15="vmiklos"][quote:423d97ec15="anr"]
Ilyekor segiteni szokott google. mintakat kell keresni nem nehez olyat talalni, ami neked kell, es akkor nem kell vegigtanulmanyoznod a iptables 160 oldalas dosijat. Egyebkent abbol is 1-2 ora alatt megtalalhato az erdekes resz.

hja, nem véletlen, hogy az rtfm nem a read the full manual rövidítése :D

En ugy szoktam hasznalni, hogy Read The Fuck'n Manual :D

( mocsi | 2004. 05. 13., cs – 08:45 )

[quote:ee740951cb="balage2"]Hi mindenkinek!
Szükségem lenne 4 db szkriptre?

1. szkript: Minden IP-rol nyeljen el minden PING-et, ami a szerveremre jön.
2. szkript: Törli az első bejegyzést, ha mégis szükségem lenne a pingre, ha távolról meg szeretném nézni, hogy be van e kapcsolva.
3. szkript: Van egy gagyi barátom aki mindenféle netrol leszedett hacker progikat szed le és azzal próbál okos lenni.A szkript azt csinalja, hogy minden kérést, kapcsolatot elnyel egy bizonyos IP-rol.
4. szkrip: azt csinalja, mint a masodik csak eppen a 3. szkripttel.

Nekek az lenne az otletem a torlo szkripekket, hogy ki greppeli a szkript szavait és azt adja be az IPTABLES-nek.

Muszaj Iptables? Sokkal egyszerubb IMHO a sysctl vagy pl az echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all majd "0"-val vissza allitod. Persze ha meg a devfs-t hasznalod a'la 2.4.x kernel.