router tűzfal (tcp flagek)

Linux-security

router tűzfal (tcp flagek)

  • 1565 megtekintés

( benyovszky v | 2006. 01. 02., h – 14:10 )

Üdv!

Kaptam egy wlan routert, mindent szépen be is állítottam rajta, jó is szép is. Csak a tűzfalas része gáááááz:( (korábban p2-es gép osztotta meg a netet, ott nem volt gondom az iptablessel). Természetesen csak web alól lehet configolni, és elég szegényesen... ennyi az össz lehetőség:

na, s itt kéne nekem ezt a sort megoldani:
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

a syn flagekkel kéne okoskodni, azt tom,d e hogy hogyan, azt már nem. Googlen semmi igazi leírást nem találtam a flagek leírásáról, s kombinációiknak jelentéséről sem. TCP/IP kapcsolatok felépülésében mondanom sem kell,h nem vok járatos, ezért kérem egy okos hozzáértő segtségét. ha van vm jó leírás, azt is megköszönöm!

ha kell be tudom illeszteni a régi(p2) scriptet, de szintem felesleges. Amúgy dsl-modem>router>4kliens(wlan+cable) egyik kliensen kell webserver is,de a portforward az megy:)

( blanc | 2006. 01. 02., h – 15:51 )

[quote:5dc665d553="benyovszky"]
na, s itt kéne nekem ezt a sort megoldani:
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

a syn flagekkel kéne okoskodni, azt tom,d e hogy hogyan, azt már nem. Googlen semmi igazi leírást nem találtam a flagek leírásáról, s kombinációiknak jelentéséről sem. TCP/IP kapcsolatok felépülésében mondanom sem kell,h nem vok járatos, ezért kérem egy okos hozzáértő segtségét. ha van vm jó leírás, azt is megköszönöm!

Ahogy nézem sehogy, mivel a kapcsolat létrehozásához kéne kapnod egy SYN-csomagot. Erre válaszolna a géped egy SYN-ACK-val, mire a külső gép ACK-znik egyet és elindul a forgalom. Tehát elvileg ha tiltod a SYN-csomag fogadását, akkor nem kaphat a rendszered iptables szerinti NEW "állapotú" kérést.

VISZONT!
Mivel szeretnél a már meglévő kapcsolathoz tartozó további kapcsolatot engedni, ahhoz tudtommal szintén kellene a SYN-engedélyezés. (Ha mégsem így van, valaki majd úgyis jól megmondja nekem.)
Innen kezdve ezzel a felülettel gyak. nem megoldható az a fajta korlátozás a router-dobozon keresztül, amit szeretnél létrehozni.
Szerintem...

[quote:5dc665d553="benyovszky"]Amúgy dsl-modem>router>4kliens(wlan+cable) egyik kliensen kell webserver is,de a portforward az megy:)

Igen, az a része menni szokott, mivel alaphelyzetben egy otthoni felhasználónak bőven elég, ha anyu tud irc-zni, apu tud dcc-zni, gyerek meg tud CoD-zni, s ezek beállíthatók a fenti felületen.
(Talán direkt erre is készült, az ún. power user meg vegyen magának 50-70eFt-ért egy nagyobb tudású masinát.)

( benyovszky v | 2006. 01. 02., h – 16:29 )

igazából már fél éve próbálom megoldani, de nem sikerült:)
Akkor a megoldás az,h minden sport 80 befelé, s minden dport 80-as enged kifelé?
Mert ez így elég macera...
A router meg ilyen, azzal nem tok mit csinálni. vhogy el kéne érnem,h be tudjak rá jelentkezni, meg is van a forrása a cuccnak, de azért magam forgatta/hackelte image-t merésznek látok rárakni...
Vagy kikapcsolom a tűzfalat a francba...

Kösz az infót!

( blanc | 2006. 01. 04., sze – 16:36 )

[quote:85c1d0262d="benyovszky"]Akkor a megoldás az,h minden sport 80 befelé, s minden dport 80-as enged kifelé?
Mert ez így elég macera...

Így van, azzal a dobozkával csak így lehet.

[quote:85c1d0262d="benyovszky"]Vagy kikapcsolom a tűzfalat a francba...

Ez is egy megoldás :D
Vagy kb.10eFt-ért venni egy gépet, amely megosztja a netet, tűzfalaz, esetleg proxy-zik. Bár gondolom pont azért lett a router doboz, hogy ne legyen még 1 gép...

( benyovszky v | 2006. 01. 02., h – 22:47 )

[quote:6a71de0d4a="blanc"]
Ha mégsem így van, valaki majd úgyis jól megmondja nekem.)

Úgy fest nem mondtál nagy hülyeséget, mert senki se szólt be:)

Kösz még1x az infót/megnyugtatást.