Fórumok
Hello
egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
telnet a 80-as portra nem mukodik. az ipfw ezt adja
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
elore is koszonom.
Hozzászólások
Portforward megvolt?
Azt már meg sem merem kérdezni, miért IPFW.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
nem volt meg.
IPFW hat meg uj vagyok a BSD teruleten es ez volt felteve alapbol. de hogy jobban atlasd a dolgot van egy linux firewall amin van firewall iptables-el megcsinaltam a portforwardot POSTROUTING -el amely a BSD gepre forwardolja a 80-as portjara.
iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 realis_ip_cim tcp dpt:80 to:192.168.1.2:80
jeleneleg a BSD csak egy darab halozati kartyam van a fenti ip cimmel, melyen fut a webszerver.
ha csak egy halozati kartya van es 1 ip cim akor is szikseges a portforward ?
Miert nem ajanlod az IPFW-ot ?
Koszi
Nagyon puritánok tűzfal szabályaid, még a legalapvetőbb "IP spoofing" elleni szabályok is hiányoznak. Vagy azok a belső, linuxos gépen vannak?
Amikor én hasolót csináltam, akkor a külső gépen futott a nat, és azon, a natd.conf-ban oldottam meg a port átirányítást is, nem a belső gépen.
Amikor pedig https-t akartam a tűzfalon, akkor a stunnellel tettem ki a belső http szerver portját a tűzfal https portjára (hogy ne kelljen az apache ssl modulját használni).
---
If you have money, use Windows!
However, if you also have a brain, use Linux!
Igen, ha az a hálózati kártya router mögött csücsül. :-)
FreeBSD-ben mindhárom (IPFW, ipfilter, pf) benne van.
A pf tud mindent, amire neked szükséged lehet, és beállítani is könnyebb, meg dinamikusabb, meg minden. Pl. MAC addresst viszont nem tud szűrni.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
Koszi szepen a segitseget.
elkezdtem olvasgatni :), aztan majd meg jelentkezem. ha megoldotam vagy sem.
koszi, szia.
Szerintem semmi gond nincs az ipfw-vel.:) En azt hasznalok eleg regota. Igaz a pf tobbet tud, de megszokas kerdese.:)
Így van, de kezdőknek a pf (szerintem) jobban ajánlott. Benchmarkokat nem tudok, hogy teljesítményben melyik a jobb, de én a pf-el elégedett vagyok.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
Ebben igazad van.:) En anno azert kezdtem el hasznalni ezt mert lusta voltam.:) Ehez meg jo doksikat talaltam.:) Amugy Benchmarkokban szerintem pf jobb, na de egy sima usernek nem sokat szamit, szerintem ahoz en is "kicsi" vagyok h ezzel foglalkozzak.:)
Énnekem egy egyetemi koli megy rajta át... na az nem mindegy.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
Én is ipfw-t használok. És én is azért mert ahhoz elsőre találtam kezdőként számomra könnyen megérthető doksit (FreeBSD handbook-ot elég volt elolvasni hozzá, hogy elkezdjem sejteni). Érdekes módon midenki fintorog meg "miiiértpontipfw?" kérdéssel bombáznak. Én meg azt nem értem, hogy miért. Tudja azt, amire szükségem van. Biztos van szebb, gyorsabb meg okosabb. De minek vegyek városba 300LE-s autót ha városban járkálok? A dugóban állni egy 26LE-s is pont ugyanúgy tudok. :) Nekem a pf a mai napig bonyolultabbnak tűnik, mint az ipfw. Persze ez fakadhat az én korlátozott szellemi képességeimből is. De egyszer ha időm lesz rászánom magam és kitapasztalom. Valami csak lehet benne, ha ennyien esküsznek rá.
OpenBSD FAQ-t kell a pf-hez elolvasni, és elkezded sejteni. Egy NAT-ot portforwarddel, sávszél-korlátozással 10 perc alatt össze lehet hányni benne, és kb. 20 sor. Persze most nem hittéríteni akarok, csak azt akartam mondani, hogy a pf legalább olyan jól dokumentált.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
re re re :)
tenyleg semi gond az ipfw-al en felejtettem el megadni a default gateway-t
mostmar megy :)
ipfw lehet megszotasokat csinalni mind a pf-el ?
Hogy mit csinálni? :-O
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
hianyzot egy ilyesmi "route add default 192.168.1.1"
:))
defaultrouter="160.114.118.254"
/etc/rc.conf
:-)
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
Ezt fejtsd ki please.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
Sziasztok
Bongesztem a halon a dokumentaciot az ipfw-rol es pf-rol, es az elobbi kerdesem az lett volna ha lehet e csinalni upload/download sebeseg korlatozast (traffic shapert), arra hasznalnam hogy az email szerverre es a webserverre mindig a megfeleol savszeleseget tudjam biztositani. es termeszetesen a webbongeszesre kevesebbet inkabb ami marad :).
Koszi.
Kreálsz queue-t, kettőt, és eldöntöd, hogy a webszerverre érkező csomagoknak alapból legyen elsőbbsége (PRIQ), vagy fenntartasz nekik x sávszélt (CBQ).
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).