Tűzfal szabály

Linux-security

Sziasztok!

Van egy futó szerverünk jó sok szolgáltatással...
Hogyan tudom azt beállítani, IPTABLES-el, hogy mostantól a 3306 -os portra csak 192.168.1.5 és 192.168.1.6 jöhetnek senki más.
Azaz mindenki tiltva, csak ez a kettő engedélyezve és ez a szabály csak erre a portra legyen érvényes.

Z.

  • 2263 megtekintés

Szvsz a hozzaallasoddal van a baj. Az iptables illetve a Linuxos tuzfalazas nagyon-nagyon jol le van dokumentalva nagyon sok helyen. Ha egy ennyire egyszeru kerdesre nem talalod meg a valaszt onalloan akkor ennel bonyolultabb feladatok eseten mihez kezdesz? Lehet, hogy cinikus stilusban valaszoltam de inkabb a gondolkodasmodjat kene rendberakni nem az iptableset a kerdezonek szvsz.

Ez úgy hangzott, mintha legalábbis én arcoltam volna be a fórumba a segítséget kérőt leiskolázva. Ez a hozzáállás arra a pedagógus-típusra emlékeztet, aki órán nem magyaráz, hiszen a diák a könyvben úgyis mindent megtalál... persze, de ettől még kérhet valaki segítséget, vagy nem? Ha pedig valaki olyan okos, jól képzett, tájékozott, hogy tudja a választ, de annyira nagyképű, hogy ezt mástól is elvárja, azzal nem segít, hogy lealázza, leiskolázza a kérdezőt, csak a fölösleges bejegyzések számát szaporítja. A fórumban helye van az ilyen kérdéseknek, és a közösség alap hozzáállása kell legyen, hogy a másikon segítsünk, főként ha az normálisan, intelligensen kérdezett. Ha lenne ideje bogarászgatni a doksikat, biztos megtenné...

A kezdo hozzaszolasbol nem volt egyertelmu, hogy otthoni, tanulasi celzattal indult neki a dolognak, vagy ceges kornyezetben, eles rendszerrol van szo. Nekem annak idejen volt idom turkaszni a doksikat. Google keyword: "iptables", 3. talalat. Es mivel anno volt idom a doksikra, most ebbol megelek. Mas helyett ingyen nem szivesen vegzem el az "alapveto" feladatokat. Igen, en is kerdeztem itt a hupon es meg kerdezek is, de elotte igyekszem koruljarni a problemat. Nem azzal jovok fel, hogy "hogyan kell kernelt forgatni?". Ha valakin latszik a tanulasi vagy es az, hogy onmaga unata tud jarni es utana is jart dolgoknak, akkor nagyon szivesen segitek. De az old meg helyettem tipus nem fekszik nekem.

Nincs benne kejes orom. De en sem irok fel valamelyik autos portalra, hogy hogyan tudom kicserelni a 3. henger generatorat az automban, mert leallt. Helyette felhivom a szervizt es megkerem, hogy csinalja meg az, aki ert hozza. Ha erdekelne a dolog, akkor meg olyan suliba jartam volna es atnyalaztam volna minden szakkonyvet, hogy ertsem mirol is van szo es ha utana sem megy, akkor egy konkret problemaval megkeresem a nalam jobban hozzaertoket. Nyilvan akkor a kerdesem nem ugy hangzana, hogy "hogyan tudom kicserelni a 3. henger generatorat?". Nem akarok bantani senkit, de azert eleg jol lehet erezni itthon ( munkahelyemen is ), hogy az egy tok termeszetes dolog, hogy ertek az IT bizonyos teruleteihez es ugyan mar, csinaljam meg ezt vagy azt helyette. Lehet, hogy csak besokalltam es most csapodott szerencsetlen kerdezon, de ez a tema mar sokszor felroppent itt is es szerintem nehanyan osztjak a velemenyem. Tucatnyi levelezolistan vagyok rajta es segitek ha latom, hogy van ertelme. Ha maradunk annal a feltetelezesnel, hogy ez egy ceges szerver, akkor a tisztelt Ceg sokkal jobban jar hosszu tavon, ha havi xk forintert megbiz egy kulsos rendszergazdat aki feltehetoen szakszerubben el fogja latni a szerver uzemelteteset. Ez nem csak stabilitasi, de biztonsagi szempontbol is fontos. Sokan nem koltenek az IT reszre, csak ha baj van, de akkor mar keso (legtobbszor). Najo, most befejezem, mert mar nagyon eltertem a targytol. :)

Sajnos olyan világot élünk, hogy bár sok embernek megadatik a tanulás lehetősége, de vannak, akik autodidakta módon kell képezzék magukat, mert nincs idejük, nincsenek abban a korban, más a munkakörük, vagy egyszerűen csak érdeklődnek az adott terület iránt. Úgyhogy hasonló kérdésekre számítani lehet a jövőben is. A munkát el kell végeznie valakinek akkor is, ha adott cég nem tud megfizetni egy képzett informatikust. Persze lehet javaslat minden fórumbejegyzésre az, hogy vegyenek föl egy rendszergazdát, aki majd megcsinálja, csak ez egyrészt marhaság, másrészt értéktelen.

Ha adott cegnek nem telik ra akkor tolja at a weblapjat szepen vmi webhosting szolgaltatora de ugye nem baj ha for free nem adok szaktanacsadast nekik? Ez egy szakma, nem hobbi (legalabbis nekem az). Innentol kezdve urambocsa kicsit kereskedelmibb a hozzaallasom hozza. Mellesleg ha igy jonne ide valaki interjura mint rendszergazda haaaaaaaaaaaat. Nem tudom mennyi idot toltenenk el beszelgetessel de szerintem 10 percnel tobbet ilyen hozzaallassal nem.

Sry ha ez felreerthetore sikerult nem igy szantam a dolgot. Ugyanakkor fenntartom amit mondtam. A tanar-diak analogia _totalisan_ _felrevezeto_!!! Rakjuk mar rendbe a szerepeket: a tanar dolga, hogy tanitson. Az en dolgom, hogy a munkamat vegezzem. Tehat a tanar amikor magyaraz a munkajat vegzi. En amikor magyarazok akkor eppen segitek. Momentan ugy velem ha a hozzaallasat rendbe lehet rakni azzal tobbet segitettem. google://iptables es a legelso talalaton mar meg lehet talalni megoldast. Man iptables szinten. Es ez csak az elso 2 legtrivialisabb informacioforras. Namostan ha valaki egy man hasznaltaval nincs tisztaban azzal mit kezdjen az ember? Probaltam ravilagitani, hogy tobbet erne ha erre megtalalna a megoldast magatol. En kerek elnezest. Ha az a celotod, hogy meggyozz, hogy ne segitsek masoknak akkor nagyon jo uton haladsz. A vegen hangsulyozom megegyszer: az en nezopontombol az a segitseg ha a szemleletmodjat rakjuk rendbe nem ha elerakjuk a kesz megoldast helyette. Reszmerol itt off. Ha ezt nem erted akkor nem nalam van a gaz szerintem.

Rakjuk rendbe. A fórum szerepe, hogy az esetlegesen felmerült problémákra a kérdező segítséget, választ kapjon. Ha azt írod be, hogy itt és itt megtalálja a kérdésére a választ, azzal segítesz rajta. Viszont ha elkezded iskolázni, alázni, azzal nemhogy nem sarkallod konstruktív gondolkodásra, hanem esetleg egy bizonytalanabb kérdező kedvét hosszú időre elveszed attól, hogy itt érdeklődjön.
"a az a celotod, hogy meggyozz, hogy ne segitsek masoknak akkor nagyon jo uton haladsz."
- Pont nem ez a célom, de ha csak így tudsz segíteni, vagy szerinted ezzel most sokat segítettél, akkor el kell mondjam, nagyon tévedsz!

Bocs de ha nem tudja mi az a man akkor hadd valaszolok mar ilyet. O nem a kezdobe irta hanem a biztonsagba ahova feltetelezne az ember, h olyanok irnak akik tudjak mirol van szo 1altalan benne... Szoval akkor a forum szerepe tisztazva es mostmar az is, hogy mi a francnak van a forumban mindenfele kategoria meg tema... Ismet csak szemleletmod.

Elmondom, hogy szerintem mi a baj a kérdéssel. Ahhoz, hogy megértsd, hogy miért ezt a választ kapta, kicsit egy potenciális segítő bőrébe kell bújni, aki beírná a választ a kérdésre. Sorra kell venni a válaszadás lépéseit. Először van az, hogy megnyitja a topicot, elolvassa a kérdést, felfogja a benne leírtakat. A topic első mondatából látja, hogy valószínűleg egy éles valamiről van szó, hiszen úgy szól, hogy "van egy szerverünk, jó sok szolgáltatással". Ez azt jelenti, hogy nem egyedül használja és nem is csak próbálgatni. Gyorsan konstatálja, hogy hah! ez kérdés konnyű! Előfordulhat, hogy a potenciális válaszadó nem tudja csak nagyjából a megoldást, ezért megnyitja a (manualt|googlet), megkeresi, ami kell aztán leírja. Nade előfordulhat, hogy egy rendkívül lelkiismeretes adminról van szó, aki még le is ellenőrzi, hogy jól gondolta-e ki, így a saját rendszerén gyorsan leteszteli a szintaxist, esetleg másik gépről megpróbálja elérni a saját szerverét, elvégre nem nagy meló meg azért milyen jó néha az iptableshez nyúlni. Klafa, működik, bepostolja. Ezután örül, hogy megoldotta, várja a mindig jóleső köszönetet.

Nos, ha megfigyeled, előfordulhat, hogy a válaszadó viszonylag sok időt tölt el a megoldás megírásával. Ezt az időt a saját szabad- vagy munkaidejéből áldozza a post megírására. Továbbá, ha egy öreg róka segít, akinek ez rutin és szinte idejébe sem kerül, akkor is ott van az a tény, hogy itt van valaki, aki a legalapvetőbb tűzfalszabályt nem képes létrehozni és egy szervert üzemeltet jó sok szolgáltatással. Ez bizony nem kicsit bántja a szakmai énjét, hiszen ő emlékszik még arra, amikor órákon át olvasta manualt, értelmezte a parancsokat, próbálgatta a szabályokat és élvezte a végeredményt, hogy ezt is megoldotta. A kérdező itt gyakorlatilag fele annyi időt nem töltött el azon, hogy megpróbálja megoldani a saját problémáját, mint amennyit sokan eltöltöttek volna azon, hogy szépen formázva megválaszolják. Ez arról tanúskodik, hogy a kérdező fikarcnyit sem tiszteli a majdani segítőjét, legalapvetőbb lépések megtételére is képtelen volt. Ezek után cseppet sem kell csodálkozni a kapott válaszon, hiszen ha ő semmibe veszi a válaszadókat, akkor a válaszadók is semmibe veszik őt és leteremtik, akár lenézően bánnak vele teljesen jogosan.
--
HUP Firefox extension

( csabyka v | 2009. 05. 11., h – 12:27 )

man iptables
--
--ha magyar MAC-et akarsz--

( noX | 2009. 05. 11., h – 13:03 )

Üdv!

Sajnos én annyira nem vagyok pro hogy fejből válaszoljak erre. De az eddigi hozzászólások arra engedtek következtetni, hogy vannak itt akik esetleg tudnák azt a két sort amire a kérdező kíváncsi.
Én sok helyen, sokaktól hallottam, hogy ilyen fórumokon nyugodtan lehet kérdezni, az emberek segítőkészek, hát itt most nem ezt láttam. Nem arról van szó, hogy a válasz mellé nem lehet egy kis dorgálást, véleményt írni, vagy akármi...
De azért ez a reagálás mégiscsak vicc, ha valaki nem akar segíteni akkor ne tegye...

Természetesen nem kell, pont azért írt ide... mert nem tudja! De ezt nem is mondta senki, csak te :)
Ideírt, ti meg learcoltátok... mert ti tudtok... és különben is tanuljon meg keresgélni az info után... ide ne is írjon senki, mert ez nem azért van! Szerintem inkább ebből lenne mit tanulnod...

Hat szerintem ez kezdo tema es kesz. A man hasznalata az uberkezdo egesz pontosan. Arrol beszelgetni, hogy X terheles mellett Y kiszolgaloi infrastruktuyraval hogyan tuzfalazzunk, erdemes-e allapottarto tuzfalat alkalmazni, a loadbalancing az vajon ad-e barmilyen security elonyt (ezt ugye LB megoladsa valogatja) ilyenek inkabb idevalo temak lennenek mint, hogy mi az a man... Ha ide irja anelkul, hogy az alapokkal tisztaban lenne ne varjon mast.

Az ilyenek miatt tart ott a szakma ahol. Hogy 100 beerkezo CV-bol ha 2 ember van aki ertelmes akkor mar boldog vagyok. A jelentkezok legnagyobb tobbsege nem jut tul a subjectjen az allashirdetesnek... Funkcionalis analfabetak es foleg a fiatalabbak amugy. Namostan egy funkcionalis analfabetabol meg ne legyen rendszergazda. (Par CV-t azert lattam. Folyamatosan rendszergazdat keresek mindenfele - ugy masfel eve - ujabb es ujabb feladatokkal es nagyon keves a hasznalhato. A kotozkodes, h azert mert rakjuk ki oket nem all meg. Rendszergazdatol nem valtunk meg mar evek ota... Akik meg tavoztak mondhatnak akarmit az van, h barom blogoknak inkabb hisznek az emberek... Csak a blogok elfelejtenek reszleteket leirni... Ti pl. mit csinalnatok egy rendszergazdaval ha backdooros SSH-t forgatna a home konyvtaraban???) Nah errol beszelek. Ez a mai szemlelet amitol hanynom kell. Mellesleg hugyer-szarer kepesek dolgozni ezek az ifjonc analfabelak ezzel alaasva a hozzaertok munkaberigenyeit.

Ha már itt tartunk, semmi olyat, amivel degradáltam volna a kérdezőt, veled ellentétben... ha már itt tartunk (de egyébként közben mások már adtak rá megoldásokat, míg egy páran inkább jól szórakoztak azzal, hogy szívatták).
Nem mennék bele általános iskolás mondatelemzésbe, nekem kontrasztosan elkülönül a "hogyan tudnám azt megoldani" és a "valaki oldja meg helyettem" kifejezés...a második nem ugyanazt jelenti.
Nem mindenki olyan nagy koponya, hogy ezt a mentalitást megengedhesse magának, de talán inkább azzal lenne érdemes kitűnni, hogy segítesz a kérdezőnek, nem "oktatod" a szó pejoratív értelmében. Ez egy meglehetősen gonosz emberi tulajdonság, főleg ha esetleg nem is szolgált rá a másik.

Kenytelenek vagyunk belemenni :(

"Ha már itt tartunk, semmi olyat, amivel degradáltam volna a kérdezőt, veled ellentétben... "ha már itt tartunk (de egyébként közben mások már adtak rá megoldásokat, míg egy páran inkább jól szórakoztak azzal, hogy szívatták)."
"
Tehat semmit.

"Nem mennék bele általános iskolás mondatelemzésbe, nekem kontrasztosan elkülönül a "hogyan tudnám azt megoldani" és a "valaki oldja meg helyettem" kifejezés...a második nem ugyanazt jelenti."
Tenyleg tok mast.

"Nem mindenki olyan nagy koponya, hogy ezt a mentalitást megengedhesse magának, de talán inkább azzal lenne érdemes kitűnni, hogy segítesz a kérdezőnek, nem "oktatod" a szó pejoratív értelmében. Ez egy meglehetősen gonosz emberi tulajdonság, főleg ha esetleg nem is szolgált rá a másik."
Nem Te fogod megmondani, hogy mit hogyan csinalok. Azt sem, hogy "mekkora koponya" vagyok. Lofaszt se raktal hozza a temahoz csakis es kizarolag a stilisztikamra kopkodsz. Nagyon okosnak tettszik lenni... Nem varom el, hogy megertsd. Tobben is leirtuk a velemenyunket de ugy a koponyad belso felenek iranyaba nem sok jutott el belole sajnos. :( Kicsit write-only uzemmodban levonek tunsz szamomra. A kedvedert akkor atfogalmazom az eredeti valaszomat:

man iptables; google://iptables; aztan az iptables parancs megfelelo felparameterezesevel, majd annak kiadasaval (illetve elkepzelheto, hogy tobbszori kiadasaval de ez fugg sokmindentol pl, h milyen iptables modulok vannak a kernelben/modulban). Ha eddig ez nem jott ossze akkor javasolt megoldas: rendszergazda beszerzese (hutes nelkul is elall!!! :) ).

Nah ez kb. ugyanaz. Igy mar megfelel Gretsy Urnak?

( toshy | 2009. 05. 11., h – 13:06 )

iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.5 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.6 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j REJECT

Mondjuk amennyiben TCP-ről van szó ! (ez nem derült ki)

Őőőőő feltételezed, hogy a t. kérdezőnek van connection trackingje.

Szájbarágósan ihun:
http://ubuntuforums.org/showthread.php?t=159661

TCP/IP-ről ihun:
http://en.wikipedia.org/wiki/Transmission_Control_Protocol

Connction trackingről ihun:
http://www.kalamazoolinux.org/presentations/20010417/conntrack.html

De ha lesz meg tobb ip (esetleg meg port is) is, akkor sokkal szebb:
iptables -N mysqlaccess
iptables -A mysqlaccess -s 192.168.1.5 -j ACCEPT
iptables -A mysqlaccess -s 192.168.1.6 -j ACCEPT
iptables -A mysqlaccess -j DROP

iptables -A INPUT -p tcp --dport 3306 -j mysqlaccess

(Szerintem mashogy mar nem lehet belekotni ;) ).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!