Láma vagyok a tűzfalakhoz, kellene egy kis segítség.

Hálózatok egyéb

Nos a helyzet az, hogy kitaláltam, csinálok belső hálózatot, úgy hogy lesz egy p2-es gépből "szerver", Ami a következőképpen néz ki semmi extra nincs rajta csak a feladata annyi, mint egy routernek + lesz rajta megosztott vinyó. Azért csak ennyi mert érteni akarom a rendszert, és egy ilyen egyszerű konfiggal könnyebb kezdeni. Az eth0-csatlakozik a nethez dhcp-vel, az eth1 pedig megy egy switch-be(lehet hibásan írom), ahol statikus ip-vel lesz belső háló. Annyit szerenék hogy a tűzfal a szerveren legyen, a kimeneti oldalon, és mindent engedjen bentről, kintről pedig ne lehessen elérni semmit. Ha nagyon szépen megkérek valakit (Veszprém esetében akár sörért csokiért vagy akár egyéb pl tejtermék is) írna nekem egy ilyet kis egyszerű scriptet? Mert magamtól még sosem sikerült, ha látok egyet egyben akkor biztos megértem.

  • 1219 megtekintés

( traktor | 2007. 12. 21., p – 13:18 )

A Netfilter hogyan megvolt mar...?

Linux adminolasbol elek... de meg eddig egyik munkaadom se akart csokiban kifizetni... szerencsere. ;)

OFF on
és ha a dübörgő gazdaság így halad tovább, akkor el is érkezik ez az idő :D
egyébként én már rájöttem, hogy miért irigyel minket az EU több állama....
ennyi baromságot egy nép sem visel el mint mi... :D:D:D:D
OFF off

kiindulási alapnak nem rossz, de adok én is: www.szabilinux.hu
____________________
Sony Vaio PCG-FX503 & kubuntu

Bocsi, nem is mint munkáltató akartalak megkérni, hogy teljes felügyeletet kérjek tőled, Csak azt hittem hogy ez nem nagy valami. Kis apró script (mondhatni ujjgyakorlat), Csak mivel én még nem csináltam, hátha valaki megmutatja, mertt a link amit adtál azt már olvastam, de sosem sikerült még írnom normálisan működő tüzfalscriptet. Valamit vagy kihaagyok vagy nem kellene, szóval ennyi. Azétrt köszi a segítséget.

Akkor kérdezek.
Ez mire elég?
modprobe ip_conntrack
modprobe ip_conntrack_ftp

## Ezzel az utasítással, mindent engedéjezünk ami a belső hálózat felől jön.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A block -j DROP

## Valamint mindent tiltunk ami kintről érkező kérés
iptables -A INPUT -j block
iptables -A FORWARD -j block
Nem akarok többet ennyitől (mármint ami ennyit tud, kintról mindent tilt bentről minden mehet, és kész)

Akkor próbáld ki ezt. Remélem segít:
iptables 1. rész
iptables 2. rész

Nem profiknak készült, talán hibák is vannak benne, sajnos nem volt időm azóta frissíteni, javítani rajta, de talán neked elég lesz.

"Kis apró script (mondhatni ujjgyakorlat)"
Mondhatni, ha napokat olvastál és gyakoroltál, akkor már újjgyakorlat (egy része).

Mire elég amit bemásoltál?
Létrehoztál egy blokk láncot, amire érkező válaszcsomagokat (már kiépített kapcsolat csomagjait) beengeded, és azokat az új kapcsolatokat amik nem az eth0-ról jönnek szintén beengeded, minden mást blokkolsz.

## Valamint mindent tiltunk ami kintről érkező kérés
iptables -A INPUT -j block
iptables -A FORWARD -j block
Húú vazze, ezt hosszú lenne elmondani. Olvasd el amit linkeltem szorgalmasan, és gyakorold is(ujjgyakorlat).

Utána gyere vissza ide egy "kész" szkrpitel és én, és a nálam sokkal okosabbak megnézzük.

Igazából tényleg nem nagyon érdekel, jobban szeretek C-programozni, gondoltam összerakok egy univerzális scriptet és elég az nekem a végtelenségig. De nam baj van egy csomó gui (na ezeknek már utánanéztem firestarter, guarddog kmyfirewall) azzal majd összerakom.

Szerk:
Akkor ez pont az ami nekem kell, Mert azt mondtad minden mehet ami válasz, csak ki kell vennem a felkiáltójelet, mert az eth0 (azaz az én gépek kártyái eth0, és eth1) felől jövőket engedje át.
Tehát így:
modprobe ip_conntrack
modprobe ip_conntrack_ftp

## Ezzel az utasítással, mindent engedéjezünk ami a belső hálózat felől jön.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i eth0 -j ACCEPT
iptables -A block -m state --state NEW -i eth1 -j ACCEPT
iptables -A block -j DROP
iptables -A INPUT -j block
iptables -A FORWARD -j block
Az utolsó 2 sor fogalmaam sincs mire jó cak azt olvstam, hogy kell a végére. Tudom hogy kóklerkedés, amit csinálok, de most nagyon nincs időm tűzfalírást tanulni, ha ez így nem jó akkor marad a gui-val totózok egyet. valamit öszerakok vele, mert pl egyes guik tartalmaznak ilyen "instrant" scripteket az egyik megfelelőt kiválasztom.

Szerk2: Ja és hálózat meg muszáj lenne, mert kelle egy csomó hálózati mozgatást majd csinálnom, de lehet hogy az lesz hogy veszek egy routert, azon van tűzfal.

Sziasztok!

Segítséget szeretnék kérni. 2 portot a 88 és a 3074-est kéne megnyitnom, de az istenért nem sikerül semmivel. Próbálkoztam az /etc/ppp/firewal-standalone file szerkesztésével, több leírást megnéztem de nem sikerül. Firestarterrel is próbálkozom, de hiába adom hozzá a ki és bejövő forgalomszabályokhoz a portokat a gyakorlatban semmi nem történik. Zenwalkot használok és egy másik gépnek van megosztva a net 2 hálókártyával, ennek a gépnek kéne a portnyitás.

( Replaced | 2007. 12. 21., p – 14:58 )

csak a kontraszt miatt idemasolom ezt neked:

# First flush the firewall rules
-f flush

# Localhost rules
add 100 allow all from any to any via lo*

# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in

# outgoing
add check-state
add pass all from me to any out keep-state

# internal
add pass all from 192.168.0.0/24 to any keep-state

# forwarded ports
add pass tcp from any to me 21,22,80
add pass tcp from any to 192.168.0.9 21,22,80

-. . - -... ... -..