Üdv. Azt akarom megcsinálni, hogy egy belső gép 192.168.100.13 ne tudjon FTP kapcsolatot kezdeményezni kifelé. A proxy 192.168.100.50 mit kellene az iptablesbe írni?
- 771 megtekintés
Hozzászólások
és ezt egy tűzfalgépen/gatewayen, az FTP szerveren, vagy magán a belső gépen szeretnéd tiltani?
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
(eth0 ha az a belső háló felé néző interface)
iptables -A FORWARD -i eth0 -s 192.168.100.13 -p tcp -m multiport --dport 20,21 -j DROP
- A hozzászóláshoz be kell jelentkezni
az eth1 befelé néz (192.168.100.50) az eth0 kifelé 213.xxx.xxx.xxx
- A hozzászóláshoz be kell jelentkezni
akkor eth1-et kell írnod, de jogos az előttem feltett kérdés is.
Amit én írtam az a gw szerverre jó.
- A hozzászóláshoz be kell jelentkezni
ez egy tűzfalszerveren /proxyn van.
az előbb beírt parancs nem hat.....
- A hozzászóláshoz be kell jelentkezni
A -A parameterrel a szabalyt hozafuzod a lanchoz. Ha elotte mar van olyan szabaly ami elengedi az FTP-t akkor sosem fog ervenyre jutni. Nezd meg hogy nincs-e ilyen szabaly. Ha igen akkor hasznald a -I parametert a -A helyett.
- A hozzászóláshoz be kell jelentkezni
mutasd meg, most mi van a tűzfaladban (iptables -L -v)
- A hozzászóláshoz be kell jelentkezni
ha az adott gép használja a proxyt akkor a proxy kongfigjában kell ezt megoldani szvsz.
acl ftp proto FTP
acl gep src 192.168.100.13/32
http_access deny gep ftp
http_access allow ...
szerintem.
- A hozzászóláshoz be kell jelentkezni
Igen, csak a proxynál az a gond, hogy a total commander nem használja. Ezért gondoltam hogy a tűzfalban kellene arról a gépről menő kéréseket tiltani, vagy valami.
- A hozzászóláshoz be kell jelentkezni
Ha van proxy, akkor az azt jelenti, hogy kifelé semmilyen kapcsolat sem mehet közvetlenül ki az internetre, csupán a proxyn keresztül, különben valami el van konfigurálva, tehát eleve nincs ilyen gond...
Ha viszont alapvetően minden engedélyezve van kifelé, akkor hogy tiltod le az ftp-t? Jó, mondjuk a 21-es portot letitlod, de mi van a többi 65534 darab porttal? Bárhol lehet az ftp szerver. Ha meg kiengeded csupán a 80 (http) és 443 (https) portot, máris megvan mind a 2 port, ami kell ahhoz, hogy működjön az ftp.
Szóval most tulajdonképpen mit szeretnél letiltani? És mi van már letiltva?
- A hozzászóláshoz be kell jelentkezni
Azt szeretném megoldani, hogy ftp-zni ne lehessen a gépekkel, de ha van rá mód akkor inkább korlátozni szeretném a sávszélt, úgy mint a böngésésnél, ami kiválóan működik. ha böngészővel töltenek le akkor tudom szabályozni...
- A hozzászóláshoz be kell jelentkezni
akkor alapból mindent tiltani kell.
iptables -P FORWARD DROP
ez után pedig csak a szükséges portokat kell engedélyezni.
Aki pedig netezni akar használja a proxyt a delay_pools,delay_class,
delay_parameters,delay_access
direktívákkal pedig szabályozhatod a sávszélességet.
- A hozzászóláshoz be kell jelentkezni