Linux-haladó

Deninet vs. Integrity

Sziasztok!

Szervert szeretnék elhelyezni (több domain: web+levelezés amire használnánk, de fontos a külföld felé menő sávszélesség), a Deninet és az Integrity közül választanék, illetve jöhet újabb szereplő is, ha tudtok ajánlani.

Deninet olcsóbb (sajnos itt nincs ismerős gép), az Integrity drágább, de az ismerősök szerint jó a szolgáltatásuk, de drágábbak, és van néhány olyan pont a szerződésükben, amit nem szivesen írnék alá.

A kérdés, hogy mi a tapasztalat a Deninettel, letehető a gép oda, vagy sem?

Köszi

Tovább (Deninet vs. Integrity)
2125 megtekintés

OpenVPN TUN védelme

Linux-haladó

Az iránt érdeklődnék - mivel vannak itt talán nálam gyakorlottabbak - , hogy hogyan tudom egy OVPN kapcsolat mellett a belső hálózatomat és a kiszolgálókat védeni a TUN kapcsolaton keresztül bejövő kliensektől.
A problémám igazából az, hogy a TUN kapcsolaton bejövő klienseket nem tudom teljesen megbízhatónak tekinteni (főleg a miatt, hogy egy-egy netre gyakorlatilag közvetlenül kapcsolódó win-ről van szó), ezért jó lenne őket egy kissé elszeparálni a tényleges belső hálózattól. Ezt a TUN használata elég jól lehetővé teszi, hiszen egy külön (virtuális) alhálózatban gyülekeznek a kliensek. A problémám az elgondolásommal az, hogy az alagút végpontjának tüzfalazása (iptables) tönkre teszi az alagutat (ezt írja egyébként az ovpn doksija is).
Ezért érdeklődnék a gyakorlotabb kollégáktól, hogy milyen módszerrel lehetne egy kicsit még is elszeparálni az alagutat a belső hálóról (sajnos az átmenő forgalom - forward - szűrését nem tartom teljesen jó megoldásnak, mert azon a gépen, ahol az alagút végpontja van, még esetleg mindig igénybe vehetnek vagy támadhatnak olyan szolgáltatást, amely nem nekik van szánva).

Tovább (OpenVPN TUN védelme)
1040 megtekintés

adatbázis szerver, context switch, mit tegyek?

Linux-haladó

Sziasztok,

Van nekünk egy eléggé túlterhelt adatbázisszerverünk (Firebird), ami nagy terhelésnél (100-150 kliens) eléggé belassul.
A terhelés viszonylag gyakori egyszerű select/insert/update kis (tízezer, max. százezer rekord) táblákon, insert néhány nagy böszme (log) táblába, és ritkán bonyolultabb, subquery-s, join-os select-ek a kicsi és a nagy táblákon (statisztika).
Nyilván lehetne a query-ket, indexeken reszelni, de most a Linux konfigolásáról kérdeznék.

A vas: HP szerver, 2x dualcore xeon (core), 4G RAM, 8x36g 10k RPM sas, RAID10, Etch, firebird
Munin fut rajta, és összehasonlítottam 2 másik szerverünkkel. Ami igazán durva volt (szerintem) az két dolog:
process fork rate: max. 10/sec, a többi szerveren ez 2
context switch: átlag 20k, peak 100k az adatbázison, a többi szerveren peak 5k-7k, átlag 500-1k
interrupts: átlag 1000/s, peak 3k. Nap közben inkább a peak közelében van. Itt láttam, hogy egy interrupt-on van a raid vezérlő, az eth0, illetve két nem használt usb. A többi szerveren külön vannak, és nincs is ekkora terhelés átlagosan (a peak az megvan).

A többi látszólag rendben van, max 1.6-os load, cpu-ból 70% system és 100% user, 2% iowait (peak, a munin a 4 core-t 400%-nak méri), nem swap-el, memória nagyja cache, átlag max 100 process.

A CPU ütemező a szerverekhez ajánlott 100/sec-re van állítva, viszont mi Firebird-ből a Classic server-t használjuk, ami minden connection-höz csinál egy külön processzt.
Az jutott eszembe, hogy segítene-e szerintetek, ha ezt 500-ra vagy 1000-re állítanánk, ami ugyan desktop-ra javasolt, viszont szerintem jobban passzolna ehhez a terheléshez.
Másik: segíthetne-e, ha külön interrupt-ra raknánk a leginkább terhelt raid vezérlőt és hálókártyát?

Szeretném a véleményeteket, segítségeteket kérni ezekben a konkrét témákban, illetve általánosan Linux adatbázis szerver tuningolás témájában is.

kösz előre is,
x

Tovább (adatbázis szerver, context switch, mit tegyek?)
1893 megtekintés

Grub és MBR dual boottal

Linux-haladó

Sziasztok!

Mik a tapasztalataitok azzal kapcsolatban, hogy Windows javító telepítésénél felülíródik az MBR? Nekem most egy akapkacsere miatt kellett ezt végrehajtanom. A lemezen Suse illetve Win2k volt. Miután utóbbin megcsináltam a javítótelepítést,a GRUB működőképes maradt. MÁsik lemezemen azonban Debian és Win Xp van. Itt már eltérő véleményeket hallottam, olvastam. http://www.google.com/search?hl=hu&q=repair+install++MBR&btnG=Keres%C3%…
Mi az igazság?

Tovább (Grub és MBR dual boottal)
822 megtekintés

Linux javító telepítés

Linux-haladó

Létezik általában javító telepítés? Olyan esetre gondolok, amikor például alaplapcsere van. Suse esetében tudtommal van ilyen. Debian telepítő csak tiszta installálást enged, Létezik, hogy ne formázzam le a meglevő linux particiót? Illetve ha konzolos bejelentkezéshez eljut a boot folyamat, akkor már a képernyőt hálózatot kell konfigurálni.Esetleg létezik olyan nem hivatalos alternatív telepítési mód, ami komplett javítja a rendszert?

Tovább (Linux javító telepítés)
3126 megtekintés

Apache .htaccess

Linux-haladó

Hello!

Ismét lenne egy kérdésem!
.htaccess fájlba kellene nekem mod_rewrite.

A beírt cím pl:
http://valami.domain.hu és erre kellene bejönni a http://domain.hu/vhost.php?q=valami oldalnak.

Tudna nekem segíteni valaki? Ma egész nap ezzel szívtam, de nem találtam rá megoldást!

Előre is köszönöm, üdv!

Tovább (Apache .htaccess)
1578 megtekintés

Energiaga(rá)zálkodás

Linux-haladó

Sziasztok!

Van egy Kubuntu Feisty szerverem.
Föbb funkciói: internet router/shaper, webszerver, mailszerver, ftpszerver, hylafax, openvpn, és nyomtatószerver
Speciális? hardver elemek: Adaptec 2100S (semmi raid) és Adaptec 2400A IDE raid (4x 400GB raid5)
A rendszer egy 18 GB scsi diszken van, és az 1.2 TB raid5 amolyan tároló diszk (mentések, képek stb)
Fut a szerveren cacti, nagios, bacula is, persze ezek is főleg a scsi-ra dolgoznak.

A kérdés a következő lenne, milyen energiatakarékossági lehetőségek vannak amiket érdemes lenne használni? Ezzel a raid kártyával nem-e lehet gond ha a diskeket néha lepihenteti esetleg?

Kernelben (2.6.18 e fölötti kernel valahogy nem szereti az adaptec raid kártyákat 2400A és 2100S is van a gépben, ez utobbin csak 1db scsi diszk van illetve 2 db DAT egység) van APM (csak poweroff) és ACPI (szinte minden modulban)

Ritkán ülök elé, leginkább ssh-val szoktam rálépni.

A netnek mennie kellene folyamatosan, és a szolgáltatásoknak is amit esetleg használni akarok, illetve a diszkeknek is persze az nem gond ha varni kell ilyenkor egy kicsit amig felporog a winyo vagy ilyesmi.

Sajna az ACPI eddig kimaradt az életemből, viszont klassz lenne a villanyszámlával spórólni amennyire lehet, tehát akinek vannak hasznos tanácsai vagy ötletei ezzel kapcsolatban a fenti szerverhez az ne kiméljen és irja le ezeket.

Köszönettel

Tovább (Energiaga(rá)zálkodás)
862 megtekintés

Levelezo szerverek migralasa

Linux-haladó

Sziasztok!

Van egy szep feladatom, ami ugy tunik jelenleg kifog rajtam.

Adott ket ceg, kulon levelezessel.

Ceg1 : Debian+postfix+mysql+postfixadmin
Ceg2 : MS win 2003 server R2+ exchange 2003

A feladat, exchange megszuntetes ugy hogy userek accountok globalis cimlista keruljon at Debian+postfix+ldap -ra (ldap globas address book miatt kene es 2003 acitve directory domain kommunkiacio miatt)

A tervem jelenleg:

1. ceg1 -rol atallni postix mysql-rol postfix ldapra (nah mar itt kezd bukni a tortenet, mert google-n nem nagyon talatam ilyen migraciorol hasznalhato doksit) Ebben kernem a segitsegeteket.
2. Exchangebol export userek, mailboxok stb.
3. import ceg1-szerverere
4. exchange stop, erre a vasra egy backup debian es postfix, igy megoldva a redundancia

Ha valaki esetleg tudna hasznalhato linket kuldeni/vagy tanacsot adni postfix-mysql to postfix-ldap -rol az rengeteget segitene.

Elore is koszi a segitseget!

secret

Tovább (Levelezo szerverek migralasa)
799 megtekintés

file olvasás probléma

Linux-haladó

Üdv,
a köv. problémában szeretném a segítségeteket kérni: van egy file-om amiben a felhasználók adatait tárolom, a köv. formában:
username1,server1, port1;
username2,server2, port2;
ebből a file-ból szertném az adatokat visszakapni úgy hogy fel tudjam dolgozni őket, a köv. kódot irtam rá de vmiért nem működik..


void readFile(){
	FILE *tf = NULL;
	int i,j=0;
	 
	tf = fopen("users.dat", "r");
	if (tf == NULL) {
		g_print("Unable to open data file\n");
		exit(-1);
	}
	while(!feof(tf)){
		while(fgetc(tf) != ','){
			readfile[j].username[i] = fgetc(tf);
			i++;
		}i=0;
		while(fgetc(tf) != ','){
			readfile[j].server[i] = fgetc(tf);
			i++;
		}i=0;
		while(fgetc(tf) != ';'){
			readfile[j].port = fgetc(tf);
			i++;
		}
		j++;
	}
}

az adatokat a köv. struktúrában tárolom (tárolnám):


struct Read {
	char username[80];
	char server[64];
	int port;
} readfile[10];

Előre is köszi a segítséget

Tovább (file olvasás probléma)
664 megtekintés

IPtables hiba - nem látszik a netről a webszerver

Linux-haladó

Sziasztok!

Szeretném a segítségeteket kérni, mert az iptables script futtatása után a webszervert nem lehet elérni a netről. Mivel még eléggé kezdő vagyok, így sajnos nem tudok rájönni, hogy miért történik ez. Ha fut a lenti részletet tartalmazó script, akkor van net a belső hálózat gépein is, de nem jó a webszerver... A szerveren squid proxy is fut, szóval a 80-as portot a 8080-ra kellene irányítani, elvielg erre szolgál a lenti részlet utolsó 2 sora...

Az iptables scriptben csak a következő sorok vannak (illetve lennének) hatással a 80-as portra:


echo "	Web Server" 
echo "		HTTP" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCEPT 
echo "		HTTPS" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 443 -j ACCEPT

#echo "	PREROUTING lánc beállítása..." 
#	$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 80 -j RETURN 
#	$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 443 -j RETURN 

echo "	Átlátszó proxy beállítása..."
#	$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080 
#	$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports 8080 
	$IPTABLES -A PREROUTING -p tcp -m tcp -i $LOCAL_IFACE --dport 80 -j REDIRECT --to-ports 8080 
	$IPTABLES -A PREROUTING -p tcp -m tcp -i $LOCAL_IFACE --dport 443 -j REDIRECT --to-ports 8080

Melyik parancs hatására válik láthatatlanná az apache? Esetleg valamelyik szabály ellentétes vagy összeakad a másikkal?

Lécci segítsetek, mert kezdek begolyózni...

Bazsi

Nem tudom, hogy kell-e, de azért bemásolom ide a teljes scriptet, hátha máshol van a hiba...


#!/bin/sh 
# 
#===================================================================== 
#=====Tűzfal indítása 
#===================================================================== 
# 

FWVER=1.3.6 

echo "================================================================" 
echo "================= Tűzfal (v. $FWVER) indítása... =================" 
echo "================================================================" 

IPTABLES=/sbin/iptables 
DEPMOD=/sbin/depmod 
MODPROBE=/sbin/modprobe 

# 
#===================================================================== 
#=====Eszközök beállítása 
#===================================================================== 
# 
# ADSL-es internet kapcsolat esetén a külső eszközt valószínűleg 
# ppp0-nak kell beállítani. A pontos beállításokhoz használd az 
# "ifconfig" parancsot. 
# 

# Internet interface adatai 
	INET_IFACE="ppp0" 
	INET_ADDRESS="saját.fix.ip.cimem" 

# Intranet interface adatai 
	LOCAL_IFACE="eth1" 
	LOCAL_IP="192.168.15.1" 
	LOCAL_NET="192.168.15.0/24" 
	LOCAL_BCAST="192.168.15.255" 

# Localhost interface adatai 
	LO_IFACE="lo" 
	LO_IP="127.0.0.1"
echo "Hálózati eszközök beállítása:" 
echo "================================================================" 
echo "" 
echo "Internet interface adatai:" 
echo "----------------------------------------------------------------" 
echo "	Internet kapcsolat azonosítója: 	$INET_IFACE" 
echo "	Internet kapcsolat IP címe: 	$INET_ADDRESS" 
echo "" 
echo "Intranet interface adatai:" 
echo "----------------------------------------------------------------" 
echo "	Intranet kapcsolat azonosítója:	$LOCAL_IFACE" 
echo "	Intranet kapcsolat IP címe:	$LOCAL_IP" 
echo "	Intranet hálózat:			$LOCAL_NET" 
echo "	Intranet hálózat broadcast címe:	$LOCAL_BCAST" 
echo "" 
echo "Localhost interface adatai:" 
echo "----------------------------------------------------------------" 
echo "	Localhost kapcsolat azonosítója: 	$LO_IFACE" 
echo "	Localhost kapcsolat IP címe: 	$LO_IP" 
# 
#===================================================================== 
#=====Modulok betöltése 
#===================================================================== 
# 

echo "" 
echo "Kernel modulok betöltése:" 
echo "================================================================" 
echo "" 
echo "	Kernel modulok vizsgálata:" 
	$DEPMOD -a 
echo "----------------------------------------------------------------" 
echo "		ip_tables" 
		$MODPROBE ip_tables 
echo "		ip_conntrack" 
		$MODPROBE ip_conntrack 
echo "		ip_conntrack_ftp" 
		$MODPROBE ip_conntrack_ftp 
echo "		ip_conntrack_irc" 
		$MODPROBE ip_conntrack_irc 
echo "		iptable_nat" 
		$MODPROBE iptable_nat 
echo "		ip_nat_ftp" 
		$MODPROBE ip_nat_ftp 
echo "		ip_nat_irc" 
		$MODPROBE ip_nat_irc 
#echo "		ipt_unclean" 
#		$MODPROBE  ipt_unclean 
echo "		ipt_MASQUERADE" 
		$MODPROBE ipt_MASQUERADE 
echo "		iptable_mangle" 
		$MODPROBE iptable_mangle 
echo "		ipt_state" 
		$MODPROBE ipt_state 
echo "		ipt_limit" 
		$MODPROBE ipt_limit 
echo "		iptable_mangle" 
		$MODPROBE iptable_mangle 
echo "----------------------------------------------------------------" 
echo "Modulok betöltése kész!" 
# 
#===================================================================== 
#=====Kernel paraméterek beállítása 
#===================================================================== 
# 

echo "" 
echo "Kernel paraméterek beállítása:" 
echo "================================================================" 
echo "" 
echo "	IP továbbítás engedélyezése..." 
echo "1" > /proc/sys/net/ipv4/ip_forward 

echo "	DynamicAddr engedélyezése..." 
echo "1" > /proc/sys/net/ipv4/ip_dynaddr 

echo "	SYN Flood védelem aktiválása..." 
echo "1" > /proc/sys/net/ipv4/tcp_syncookies 

echo "	ICMP csomagok elfogadása..." 
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

echo "	Secure_redirect kérések elfogadása csak az alapértelmezett gateway-től..." 
echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects 

echo "	Valótlan címekről érkező csomagok naplózása..." 
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians 
# 
#===================================================================== 
#=====Irányelvek beállítása 
#===================================================================== 
# 

echo "" 
echo "Irányelvek beállítása:" 
echo "================================================================" 
echo "" 
echo "	Alapértelmezett szabályok irányelveinek átállítása..." 
	$IPTABLES -P INPUT ACCEPT 
	$IPTABLES -P FORWARD ACCEPT 
	$IPTABLES -P OUTPUT ACCEPT 
	$IPTABLES -t nat -P PREROUTING ACCEPT 
	$IPTABLES -t nat -P POSTROUTING ACCEPT 
	$IPTABLES -t nat -P OUTPUT ACCEPT 
	$IPTABLES -t mangle -P PREROUTING ACCEPT 
	$IPTABLES -t mangle -P OUTPUT ACCEPT 

echo "	Láncok szabályainak törlése..." 
	$IPTABLES -F 
	$IPTABLES -t nat -F 
	$IPTABLES -t mangle -F 

echo "	Üres láncok törlése..." 
	$IPTABLES -X 
	$IPTABLES -t nat -X 
	$IPTABLES -t mangle -X 

echo "	Irányelvek beállítása..." 
	$IPTABLES -P INPUT DROP 
	$IPTABLES -P OUTPUT DROP 
	$IPTABLES -P FORWARD DROP
# 
#===================================================================== 
#=====Saját láncok és szabályok létrehozása, beállítása 
#===================================================================== 
# 

echo "" 
echo "Saját láncok és szabályok létrehozása, beállítása:" 
echo "================================================================" 

echo "	Saját láncok létrehozása..." 
	$IPTABLES -N bad_packets 
	$IPTABLES -N bad_tcp_packets 
	$IPTABLES -N icmp_packets 
	$IPTABLES -N udp_inbound 
	$IPTABLES -N udp_outbound 
	$IPTABLES -N tcp_inbound 
	$IPTABLES -N tcp_outbound 

#echo "	Saját láncok és szabályok beállítása..." 
	$IPTABLES -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j LOG --log-prefix "Illegal source: " 
	$IPTABLES -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j DROP 
	$IPTABLES -A bad_packets -p ALL -m state --state INVALID -j LOG --log-prefix "Invalid packet: " 
	$IPTABLES -A bad_packets -p ALL -m state --state INVALID -j DROP 
	$IPTABLES -A bad_packets -p tcp -j bad_tcp_packets 
	$IPTABLES -A bad_packets -p ALL -j RETURN 

	$IPTABLES -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN 
	$IPTABLES -A bad_tcp_packets -p tcp -i $LOCAL_IFACE ! --syn -m state --state NEW -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn: " 
	$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "Stealth scan: " 
	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP 
	$IPTABLES -A bad_tcp_packets -p tcp -j RETURN 
	 
	$IPTABLES -A icmp_packets --fragment -p ICMP -j LOG --log-prefix "ICMP Fragment: " 
	$IPTABLES -A icmp_packets --fragment -p ICMP -j DROP 
	$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "Ping detected: " 
	$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT 
#	$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP 
	$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT 
	$IPTABLES -A icmp_packets -p ICMP -j RETURN
#
#===================================================================== 
#=====Szerver szolgáltatások engedélyezése 
#===================================================================== 
# 

echo "" 
echo "Szerver szolgáltatások engedélyezése:" 
echo "================================================================" 

echo "	NetBIOS Server" 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP 

echo "	Network Time Protocol (NTP) Server" 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --destination-port 123 -j ACCEPT 

echo "	DNS Server" 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --destination-port 53 -j ACCEPT 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --source-port 53 -j ACCEPT 

echo "	External DHCP Server" 
	$IPTABLES -A udp_inbound -p UDP -s 0/0 --source-port 68 --destination-port 67 -j ACCEPT 

# No match 
	$IPTABLES -A udp_inbound -p UDP -j RETURN 
	$IPTABLES -A udp_outbound -p UDP -s 0/0 -j ACCEPT 

echo "DNS Server - zone transfers and large requests" 
	$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 53 -j ACCEPT 

echo "	Web Server" 
echo "		HTTP" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCEPT 
echo "		HTTPS" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 443 -j ACCEPT 
echo "		FTP Server (Control)" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 21 -j ACCEPT 
echo "		FTP Client (Data Port for non-PASV transfers)" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --source-port 20 -j ACCEPT 
echo "		Passive FTP" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 62000:64000 -j ACCEPT 

echo "	Email Server" 
echo "		SMTP" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 25 -j ACCEPT 
#echo "		POP3" 
#		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 110 -j ACCEPT 
#echo "		S-POP3" 
#		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 995 -j ACCEPT 
echo "		IMAP4" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 143 -j ACCEPT 
echo "		S-IMAP4" 
		$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 993 -j ACCEPT 


echo "	sshd" 
	$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT 

echo "	MSN Messenger File Transfers" 
	$IPTABLES -A tcp_inbound -p TCP -s 0/0 --destination-port 6891:6900 -j ACCEPT 

# No match 
	$IPTABLES -A tcp_inbound -p TCP -j RETURN
# 
#===================================================================== 
#=====Letiltott szolgáltatások 
#===================================================================== 
# 

echo "" 
echo "Szolgáltatások letiltása:" 
echo "================================================================" 

echo "	IRC" 
	$IPTABLES -A tcp_outbound -p TCP -s 0/0 --destination-port 194 -j REJECT 

echo "	Usenet Access" 
	$IPTABLES -A tcp_outbound -p TCP -s 0/0 --destination-port 119 -j REJECT 

# No match 
	$IPTABLES -A tcp_outbound -p TCP -s 0/0 -j ACCEPT
# 
#===================================================================== 
#=====INPUT lánc beállítása 
#===================================================================== 
# 

echo "" 
echo "INPUT lánc beállítása:" 
echo "================================================================" 

echo "	Minden forgalom engedélyezése a $LO_IFACE -on..." 
	$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT 

echo "	Rossz csomagok eldobása..." 
	$IPTABLES -A INPUT -p ALL -j bad_packets 

#echo "	DOCSIS kompatibilis kábelmodem beállítása..." 
#	$IPTABLES -A INPUT -p ALL -d 224.0.0.1 -j DROP 
#	$IPTABLES -A INPUT -p ALL -d 224.0.0.1 -j ACCEPT 

echo "	Saját hálózatra vonatkozó szabályok (accessing gateway system itself)" 
	$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT 
	$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT 

echo "	DHCP kliens kérelmek engedélyezése $LOCAL_IFACE-en..." 
	$IPTABLES -A INPUT -p UDP -i $LOCAL_IFACE --source-port 68 --destination-port 67 -j ACCEPT 

echo "	Létező kapcsolatok elfogadása" 
	$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT 

echo "	További csomagok átirányítása a megfelelő felhasználói láncra..." 
	$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound 
	$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_inbound 
	$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets 

# Drop without logging broadcasts that get this far. Cuts down on log clutter. 
# Comment this line if testing new rules that impact broadcast protocols. 
	$IPTABLES -A INPUT -m pkttype --pkt-type broadcast -j DROP 

echo "	Nem illeszkedő csomagok naplózása...”
	$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
# 
#===================================================================== 
#=====FORWARD lánc beállítása 
#===================================================================== 
# 

echo "" 
echo "FORWARD lánc beállítása:" 
echo "================================================================" 

echo "	Rossz csomagok eldobása..." 
	$IPTABLES -A FORWARD -p ALL -j bad_packets 

echo "	TCP csomagok elfogadása, amiket továbbítani akarunk belső címekről" 
	$IPTABLES -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_outbound 

echo "	UDP csomagok elfogadása, amiket továbbítani akarunk belső címekről" 
	$IPTABLES -A FORWARD -p udp -i $LOCAL_IFACE -j udp_outbound 

echo "	Azon további csomagok elfogadása, amiket nincsenek tiltva a belső címekről" 
	$IPTABLES -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT 

echo "	Deal with responses from the internet" 
	$IPTABLES -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT 

echo "	Log packets that still don't match" 
	$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "
# 
#===================================================================== 
#=====OUTPUT lánc beállítása 
#===================================================================== 
# 

echo "" 
echo "OUTPUT lánc beállítása:" 
echo "================================================================" 

echo "	Érvénytelen ICMP csomagok eldobása..." 
	$IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP 

echo "	Localhost" 
	$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT 
	$IPTABLES -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT 

echo "	Belső hálózat irányába" 
	$IPTABLES -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT 
	$IPTABLES -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT 

echo "	Az internet felé" 
	$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT 

echo "	Log packets that still don't match" 
	$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
# 
#===================================================================== 
#=====NAT beállítása 
#===================================================================== 
# 

echo "" 
echo "NAT beállítása:" 
echo "================================================================" 

#echo "	PREROUTING lánc beállítása..." 
#	$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 80 -j RETURN 
#	$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 443 -j RETURN 

echo "	Átlátszó proxy beállítása..."
#	$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080 
#	$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports 8080 
	$IPTABLES -A PREROUTING -p tcp -m tcp -i $LOCAL_IFACE --dport 80 -j REDIRECT --to-ports 8080 
	$IPTABLES -A PREROUTING -p tcp -m tcp -i $LOCAL_IFACE --dport 443 -j REDIRECT --to-ports 8080 


echo "	POSTROUTING lánc beállítása" 
#	$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS 
#	$IPTABLES -t nat -A POSTROUTING -s $LOCAL_NET -j SNAT --to-source $INET_ADDRESS 
	$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE 
	$IPTABLES -A FORWARD -i $INET_IFACE -o $LOCAL_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT 

echo "	MTU csomagok méretének szabályozása..." 
	$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1453: -j TCPMSS --set-mss 1452 
	# ADSL-es internet kapcsolat esetén a problémánk lehet az MTU-csomagok 
	# méretével, ezért az előző sor elől mindenképpen ki kell venni a 
	# kommentet. 

# NMAP FIN/URG/PSH Scan detektálás 
	$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 1/minute -j LOG --log-level 5 --log-prefix "FireWall.nmap-xmas:" 
	$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP 

# SYN-FLOODING PROTECTION (4 kapcsolatkérés másodpercenként) 
	$IPTABLES -N syn-flood 
	$IPTABLES -A INPUT -i $INET_IFACE -p tcp --syn -j syn-flood 
	$IPTABLES -A syn-flood -j LOG --log-level 5 --log-prefix "FireWall.syn-flood:" 
	$IPTABLES -A syn-flood -m limit --limit 20/s --limit-burst 4 -j RETURN 
	$IPTABLES -A syn-flood -j DROP 

echo "" 
echo "================================================================" 
echo "==================== Tűzfal betöltése kész! ====================" 
echo "================================================================" 
echo ""

Tovább (IPtables hiba - nem látszik a netről a webszerver)
1773 megtekintés

Feliratkozás a következőre: Linux-haladó