Alap portkérdések

az is elég szomorú, hogy ilyeneket kérdezel, pedig állítólag elolvastad a doksikat. trey aktuális avatarját értsd magadra
:twisted:

[quote:a6ffde22fe="szucs_t"]Magyarul erre az egyszerű kérdésre nem válaszolsz. Ez szomorú.

ha ertelmesen tudsz kerdezni (akar ugy is, hogy az elozo kerdeseidre adott valaszokat figyelmesen elolvasod), akkor hidd el, hogy fogunk valaszolni (amennyiben tudunk).

[quote:e116cd86fe="szucs_t"]Erre már mindjár reagáltok! :D A kérdésem meg azt hiszem, egyértelmű volt, de ti nem voltatok képesek rá egyértelműen válaszolni.

Könyveket és hogyanokat ajánlani minden hülye tud, még én is.

Kettőtök segitsége nem sokat ér. Kérlek benneteket, inkább ne válaszoljatok, ha nem tudjátok a választ. Vannak itt még sokan, akik jobban értenek hozzá. Ők szivesen segitenek is, ahelyett, hogy okoskodnának.

Az ő segitségükre számitok.

nem gondolom, hogy nekem kene minositenem a sajat hozzaertesemet, de azt hiszem, hogy annak, aki nem tud kerdezni, nem sokat lehet segiteni. nem fogok okoskodni a tovabbiakban, de ne vard el senkitol, hogy helyetted oldja meg a problemat. olvass es probalkozz, hogy legyen alapod kerdezni, mert en most ugy latom, hogy alapveto dolgokkal nem vagy tisztaban. persze az is lehet, hogy csak en nem ertek hozza.

[quote:e991a9eb90="szucs_t"]Erre már mindjár reagáltok! :D A kérdésem meg azt hiszem, egyértelmű volt, de ti nem voltatok képesek rá egyértelműen válaszolni.

Könyveket és hogyanokat ajánlani minden hülye tud, még én is.

Kettőtök segitsége nem sokat ér. Kérlek benneteket, inkább ne válaszoljatok, ha nem tudjátok a választ. Vannak itt még sokan, akik jobban értenek hozzá. Ők szivesen segitenek is, ahelyett, hogy okoskodnának.

Az ő segitségükre számitok.

Tudod mit?

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ennyi kell neked osszesen, akkor biztonsagban leszel, es idiota valaszokat sem kell olvasnod a hupon.

[quote:f0b3c90ae2="szucs_t"]Erre már mindjár reagáltok! :D A kérdésem meg azt hiszem, egyértelmű volt, de ti nem voltatok képesek rá egyértelműen válaszolni.

Könyveket és hogyanokat ajánlani minden hülye tud, még én is.

Kettőtök segitsége nem sokat ér. Kérlek benneteket, inkább ne válaszoljatok, ha nem tudjátok a választ. Vannak itt még sokan, akik jobban értenek hozzá. Ők szivesen segitenek is, ahelyett, hogy okoskodnának.

Az ő segitségükre számitok.

Majdnem irtam egy csunyat neked.

OLVASD EL AZOKAT A NYOMORONC LEIRASOKAT AZ EG SZERELMERE, AHOGY MI IS TETTUK!

Pl: http://iptables-tutorial.frozentux.net/iptables-tutorial.html - igaz angolul, de vannak peldascriptek is benne

[quote:7f346975f6="andrej_"][quote:7f346975f6="szucs_t"]Erre már mindjár reagáltok! :D A kérdésem meg azt hiszem, egyértelmű volt, de ti nem voltatok képesek rá egyértelműen válaszolni.

Könyveket és hogyanokat ajánlani minden hülye tud, még én is.

Kettőtök segitsége nem sokat ér. Kérlek benneteket, inkább ne válaszoljatok, ha nem tudjátok a választ. Vannak itt még sokan, akik jobban értenek hozzá. Ők szivesen segitenek is, ahelyett, hogy okoskodnának.

Az ő segitségükre számitok.

Majdnem irtam egy csunyat neked.

OLVASD EL AZOKAT A NYOMORONC LEIRASOKAT AZ EG SZERELMERE, AHOGY MI IS TETTUK!

Pl: http://iptables-tutorial.frozentux.net/iptables-tutorial.html - igaz angolul, de vannak peldascriptek is benne

teljesen folosleges, a "ClamAV figyelés mindenre" topikban ugyanezt csinalja.

Nembaj, harcolok. :)

kedves Tamás!

nagyon sajnálom, hogy nem írtam le neked pontról pontra. ez valószínűleg azért van, mert a legtöbben az elérhető dokumentációkból össze tudjuk szedni a megoldást. ha neked ez nem sikerült, pályát tévesztettél, illetve más hobbi után lenne célszerű nézned. persze ez az én szubjektív véleményem. majd azok "akik jobban értenek hozzá" kijavítanak. bár szerintem nekik sem fog tetszeni amit művelsz.

üdv: C

[quote:8b51749dc0="congo"]kedves Tamás!

nagyon sajnálom, hogy nem írtam le neked pontról pontra. ez valószínűleg azért van, mert a legtöbben az elérhető dokumentációkból össze tudjuk szedni a megoldást. ha neked ez nem sikerült, pályát tévesztettél, illetve más hobbi után lenne célszerű nézned. persze ez az én szubjektív véleményem. majd azok "akik jobban értenek hozzá" kijavítanak. bár szerintem nekik sem fog tetszeni amit művelsz.

üdv: C

mielott jonne a "kocsog huposok nem valaszolnak/nem ertenek semmihez/nem segitenek a n00bnak/stb": nem a kerdezessel van a baj, hanem azzal, ha valaki massal akarja megoldatni a problemat ahelyett, hogy raszanna egy kis idot es energiat arra, hogy utananezzen alapveto dolgoknak. kerdezni lehet, tanacsot, otletet kerni lehet, de ha valaki arra keptelen, hogy a rendelkezesre allo doksikbol (ez a temakor IS szenne van dokumentalva) osszeszedje az alapinfokat, illetve nem tud egy olyan szintre eljutni, hogy ertelmes, vilagos kerdeseket tegyen fel, akkor csak csatlakozni tudok congo postjahoz.

[quote:b54ab529f4="szucs_t"]Az ilyenre bezzeg ezerszám reagálnak!

:lol:

ja, mer' csak ehhez ertunk.

Most a kliens, vagy a szerveroldalra gondolsz?

pl. megadsz ACCEPT szabályokat a két tartományra, aztán ami nem tartozik bele az úgyis továbbmegy...

Nézd meg itt!
Trey a 2004. Aug 18. / 17:04-as hozzászólásában leírta a minimum szabályokat, amit aztán továbbfejleszthetsz.

detto:

http://www.hup.hu/modules.php?name=Forums&file=viewtopic&t=2610&highlight=iptables

[quote:3681ad3b8f="szucs_t"]Mindkettőre! Tudniillik szeretném beállítani a csomagszűrőt, hogy mindent alapban tiltson, csak azt engedélyezze, amit én mondok meg neki. Hogyan oldjam meg, ha össze-vissza mindenféle portokat használ? Mi az a legkisebb intervallum, amit ezek használatánál engedélyezzek? Vagy adjam meg, hogy a belső hálózatról minden kérés engedélyezett? Jó az úgy?

az alapfelállás az, h csak azon jöhetnek be, amit te kezdeményeztél. pl kifelé böngészel 80as porton, akkor ott jöhet vissza a cucc, de a te apachedet nem érik el. részletesen a fentebb említett címen :wink:

[quote:5990df0dba="szucs_t"]Mindkettőre! Tudniillik szeretném beállítani a csomagszűrőt, hogy mindent alapban tiltson, csak azt engedélyezze, amit én mondok meg neki. Hogyan oldjam meg, ha össze-vissza mindenféle portokat használ? Mi az a legkisebb intervallum, amit ezek használatánál engedélyezzek? Vagy adjam meg, hogy a belső hálózatról minden kérés engedélyezett? Jó az úgy?

kliensek a kimeno kapcsolataikhoz az 1024 feletti port-tartomanybol kapnak szabad portokat, tobbe-kevesbe veletlenszeruen, igy nem tudod elore megmondani, hogy egy adott kliens milyen porton fog kimenni. ha "szuk" szabalyrendszert akarsz felallitani, celszeru minden kimeno kapcsolatot tiltani, es explicite engedelyezni az elerheto celportokat (esetleg celport-tartomanyokat).

[quote:6304fae15f="szucs_t"]Kedves vmiklos. Hiába olvastam el most újra azt a témát, arra nem kaptam választ, hogy miért használnak mindenféle portokat a böngészők, és az FTP is.

Az ESTABLISHED ezzel van összefüggésben?

ahogy mondod. az pont azt engedélyezi, h kifelé bármi mehet, és arra a válasz jöhet befelé.
ha pedig passziv ftpt használsz, akkor csak az ftp porton fog menni a cuccos :wink:

[quote:27392ddd62="szucs_t"]
Mondjuk a 172.16.128.8-as című LAN-munkaállomásról webböngészek kifelé az Internetre, akkor az használja mondjuk az 1716-os portot, de a kinti, internetes webszerver a 80-asat, akkor ha csak a 80-as portot nyitom meg az átjáró szerveremen, akkor nem lesz kapcsolat. Ha meg engedélyezem a kifelé menő 1716-os portot, akkor aktuálisan elég, de mint ahogyan te is írod, váltogatja a portot. Befelé ne engedjek semmit, csak mondjuk a webböngészésnél maradva a 80-as portot, de a LAN-ról és az átjáró szerverről kifelé és befelé egyaránt engedjek meg minden portot 1024-en túl?

ha engedelyezed a 80-as CELport elereset peldaul a 1024:65535 (ezt eppen lehetne lejjebb faragni) FORRASportokrol (nyilvan az egyeb szukseges beallitasok mellett), akkor mennie kell. tovabbi szukitesekhez azert celszeru a connection state kovetest is felhasznalni, ahogy azt feljebb is javasoltak
.
celszeru elolvasgatni legalabb ilyeneket:
http://www.tldp.org/HOWTO/NET3-4-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html

cat /proc/sys/net/ipv4/ip_local_port_range

[quote:ac60ec7213="szucs_t"]Kedves vmiklos! Értem. Ipchainssel ez, csak másképpen megoldható?

Kedves zsirfeka! Az 1024:65535 intervallumot mennyire szűktsem le? A connection state van ipchainshez is?

Tudom, hogy az iptables a jobb, abban még MAC-szerinti szűrés is van, ami nagyon-nagyon jó dolog, de ipchainsszel nem oldható meg az estabilshed?

az ipchains meg nem tud stateful szurest, es mar meglehotosen tulhaladott. inkabb hasznalj iptablest, hacsak nem vagy rakenyszeritve az ipchainsre.

[quote:c2476fbf7b="szucs_t"][quote:c2476fbf7b="x-daemon"]cat /proc/sys/net/ipv4/ip_local_port_range

És ez mit csinál? Megmondja, hogy mely porttartományt lehet használni?

ebből a lokális tartományból választ portot

[quote:13e895917b="szucs_t"]Még egy érdekesség. Mért az 1024-es porton kapcsolódik a szerverem a szolgáltatóm domainszerverének 53-as portjával? És ha a LAN-ról böngésznek egy honlapot, miért az átjáró 61867-es portjával dumál az internetes honlap 80-as portja?

ha jol remlik, linux alatt a maszkolt tcp/udp kapcsolatok 60000 folott mennek ki a NAT-olast vegzo gepen. (miert problema ez egyebkent?)

[quote:13e895917b="szucs_t"]Skacok! Biztosan tudjátok. Hogyan lehet definiálni tűzfalban azt, hogy külső Internet, vagyis minden, ami nem belső LAN és külső saját IP-címtartomány?

leegyszerusitve: minden, ami nem "belso LAN", a NAT boxod default gw-en (a szolgaltato altal megadott gatewayen) keresztul fog kimenni, tehat ez (igy ebben a formaban) nem tuzfalfuggo. az, hogy a tuzfal ruleseten belul hogyan szurod az egyes szegmensek (jelen esetben a LAN es a kulvilag) fele/kozott zajlo forgalmat, rad van bizva.

szerintem olvasd el a Linux Networking HOWTO-t:
http://www.tldp.org/HOWTO/NET3-4-HOWTO.html

esetleg a Linux 2.4 Packet Filtering HOWTO-t:
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html

[quote:7720310e53="szucs_t"][quote:7720310e53="congo"]pl. megadsz ACCEPT szabályokat a két tartományra, aztán ami nem tartozik bele az úgyis továbbmegy...

Ok, de ha én a két tartományon kivül engedélyezni akarok valamit?

tehát a két tartományt tiltani, a többit meg engedélyezni?
nem igazán értem mit akarsz megvalósítani, és szerintem a többiek sem, azért nem érkezik rá válasz...

a precedenciát te határozod meg a táblákba irányítgatással ill. a szabályok sorrendjével. ha két ellenőrzést akarsz végezni, akkor vagy RETURN célt adsz meg, vagy másik táblába küldöd. ha DROP-olod, akkor ott rögtön megáll az értelmezésben és elhajítja a csomagot.

a példádban nem fog menni az ssh a 172.16.128.0/24 tartományból.

[quote:380e63eada="szucs_t"]Nem akarom tiltani a két tartományt, csak más szabályokat akarok adni nekik, mint az azon kivülieknek.

A kérdésem lényege:

A tűzfal tulajdonképpen hogyan kezeli a precedenciát? Azt fogadja el, amelyik a szigorúbb, az, amelyik a gyengébb, vagy azt, amelyik később adom meg, illetve amelyiket korábban?

Pl. ha emezt, ilyen sorrendben megadom (nem a parancs szintaktikája a lényeg):

0.0.0.0/0 22 DENY
172.16.128.0/24 22 ACCEPT

akkor mi történik? A 172.16.128.0/24 a 22-es portra engedelyezett lesz, vagy tiltott?

na az elozot jol nem kuldtem el. szoval celszeru default policy-t mindharom (INPUT, OUTPUT, FORWARD) built-in chain eseten DROP-ra tenni (-P parameter), aztan explicite engedelyezni, amit kell.
most hirtelen nem emlekszem, hogy ipchains-nel volt e kulon -i es -o, de ha csak -i van, azzal is meg tudod adni, hogy az adott szabaly melyik interface-re vonatkozik, igy egyszeruen el tudod kuloniteni a szegmenseket.

[quote:abd5c9eda6="szucs_t"]Igen, én is azon gondolkodtam, hogy interface szerint szűröm a dolgokat.

Ha ilyen sorrendben adom meg, akkor menni fog a belső hálózatra az SSH?

172.16.128.0/24 22 ACCEPT
0.0.0.0/0 22 DENY

Vagyis előbb engedélyezem, ahova kell, aztán tiltom, ahova nem kell?

És ha igy adom meg, mi történik?

172.16.128.0/24 22 DENY
0.0.0.0/0 22 ACCEPT

Ebben az esetben mindenkinek engedélyezve lesz a 22-es port, vagyis a 172.16.128.0/24-nek is, vagy nekik tiltott lesz?

tovabbra is azt mondom, hogy eloszor olvasd el FIGYELMESEN a mar emlitett howto-kat...