Tisztelt Uraim!
A következő problémába ütköztem:
debian + webmin + usermin + apache + mysql + samba + ssh
nagyjából egyenlőre ennyi szolgáltatás müködik a gépen (teszt jellegel).
A legnagyobb problémámat a tűzfal beállítása okozza :( mind hiába ennyi szolgáltatás, ha nincs védelem.
Azt szeretném, hogy minden csomagot dobjon el, de a HTTP,HTTPS,SAMBA,SSH legyen elérhető. SAMBA megosztások, persze csak lokális hálózatból ami lehet (192.168.2.0, vagy akár az egész 192.168.0.0)
1 hálózati kártya van.
Webmines felületen szeretném beállítani.
egyszer már megszívtam hogy mindent eldobtam a kezdeti beállításoknál, de aztán w3m barátom segített resetelni :D
Tudnátok nekem e problémában feladatban segíteni?
Üdv kavics
- 2740 megtekintés
Hozzászólások
Szerintem ne webmin-nel szorakoz, hanem iptables-szel allitsd be a szabalyokat.
Legeloszor mindent dropolj, aztan egyenkent add hozza a szabalyokat amiket engedni akarsz.
- A hozzászóláshoz be kell jelentkezni
a webmines tüzfal configja a /etc/iptables.up.rules
aminek a tartalma egyenlőre ennyi:
# Generated by iptables-save v1.3.6 on Fri Sep 5 17:14:55 2008
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Sep 5 17:14:55 2008
# Generated by iptables-save v1.3.6 on Fri Sep 5 17:14:55 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Fri Sep 5 17:14:55 2008
# Generated by iptables-save v1.3.6 on Fri Sep 5 17:14:55 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Sep 5 17:14:55 2008
ha én ennek nekiesek szerkeszteni mondjuk egy ilyesmire mint ez
http://www.stud.u-szeged.hu/Veress.Krisztian/munka/firewall
akkor nem fog összeomlani a rendszer?
- A hozzászóláshoz be kell jelentkezni
Azt nem tudom, hogy a webmin mikor érvényesíti a konfurációs változásokat, de saját tapasztalatom alapján sajnos csak megerősíteni tudom, hogy az iptables szabályok piszkálásával olyan jól el lehet szigetelni a gépet a külvilától, hogy nem is lehet rá bejelentkezni. Ilyenkor csak személyes megjelenés, vagy remote management kártya segíthet.
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
A rendszer nem fog oszeomlani, csak legfeljebb nem fogsz hozzafeni :). Tedd azt amit maniac irt az elozo bejegyzesben. Igy ahogy most van mindent atenged a tuzfal.
- A hozzászóláshoz be kell jelentkezni
A webmin használata bonyolultabb, mint az alkalmazások konfig fájljait túrni.
Egy ~20 soros iptables script lefutása 3-4-5 futási szinten bőven elég.
Számtalan megoldást találsz itt a HUP-on is.
kötöjelkötöjel
Kiszámít mér és berakodás idő -ból -a Pókháló
- A hozzászóláshoz be kell jelentkezni
Igy van, sokkal konnyebb egy scriptet irni ami lefut, mint ilyen gui-s hulyesegekkel szorakozni.
A tavoli tuzfalszabaly irasnak amugy van nehany dolga amit erdemes megfontolni.
Pl.
-erdemes elobb a scriptet olyan gepen lefuttatni, amit eltudsz erni utana kezzel is.
-miutan mindent dropolsz erdemes egybol azt is beallitani, hogy a 22-es portot pl. engedelyezed mindenhonnan - igy elkerulod, hogy kizard magad
-olvasd at a konfigot tobbszor is, vezesd le, ertelmezd, es csak utana futtasd
Ja es erdemes csinalni egy olyat is, hogy crontabban 10 percenkent lefuttatsz egy olyat, hogy minden tuzfalszabalyt visszaallit az alapallapotra, igy nem lesz problema abbol, ha kizarod magad a rendszerbol :).
- A hozzászóláshoz be kell jelentkezni