Начало Вход/Регистрация Помощ Tazi stranica s latinski bukwi
Области
 Новини
 Актуална тема
 Linux портали
 Справочник
 FAQ
   •Какво е Линукс?
 Въпроси-отговори
 Форуми
   •Трудова борса
   •Конкурс
 Статии
 Дистрибуции
   •Поръчка на CD
 Made In BG
 Файлове
 Връзки
 Галерия
 Конференции
Настройки
 Външен вид
 Предложения
 Направи си сам
И още ...
 За нас
 Линукс за българи ЕООД
 Линк към нас
 Предложения

Подкрепяно от:
TelePoint - Място за хора със свободни идеи

SiteGround

initLab

Adsys Group

SAP Bulgaria

Въпроси отговори
Въпрос: HELP za ipchains
[Търси: ]

ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.

Към началото |Добави въпрос |Отговори
 
Въпрос
От: na4inae6t (ispa< at >dir[ точка ]bg) Дата: 02/13/2003
Imam pitane. Imam 2 Linux servera.Imam 15-20 PC-ta v LAN-a.
 Ediniat e s 2 mrejovi karti. eth0 e kam ISP, a eth1 kam
switch-a na Ethernet-a mi. Eto gi:
*****************
root@myhost:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:40:F4:27:79:65  
           inet addr:XXX.72.223.28  Bcast:XXX.72.223.63 
Mask:255.255.255.192
           UP BROADCAST RUNNING MULTICAST  MTU:1500 
Metric:1
           RX packets:491006 errors:0 dropped:0 overruns:0
frame:0
           TX packets:301033 errors:0 dropped:0 overruns:0
carrier:0
          collisions:1810 txqueuelen:100 
           RX bytes:354876106 (338.4 Mb)  TX bytes:59391671
(56.6 Mb)
          Interrupt:12 Base address:0xd800 

eth1      Link encap:Ethernet  HWaddr 00:40:F4:27:73:7D  
           inet addr:192.168.0.10  Bcast:192.168.0.255 
Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500 
Metric:1
           RX packets:337435 errors:0 dropped:0 overruns:0
frame:0
           TX packets:324919 errors:0 dropped:0 overruns:0
carrier:0
          collisions:0 txqueuelen:100 
           RX bytes:66709324 (63.6 Mb)  TX bytes:348704748
(332.5 Mb)
          Interrupt:10 Base address:0xd400 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:3924  Metric:1
           RX packets:187 errors:0 dropped:0 overruns:0
frame:0
           TX packets:187 errors:0 dropped:0 overruns:0
carrier:0
          collisions:0 txqueuelen:0 
           RX bytes:20251 (19.7 Kb)  TX bytes:20251 (19.7
Kb)
*****************
A tova imam kato ipchains:
**************************
root@myhost:~# ipchains -L
Chain input (policy REJECT):
 target     prot opt     source                destination   
       ports
 ACCEPT     all  ------  192.168.0.0/24       anywhere       
      n/a
 REJECT     all  ----l-  192.168.0.0/24       anywhere       
      n/a
 ACCEPT     all  ------  anywhere            
myhost.xxxxx.com      n/a
 ACCEPT     all  ------  anywhere             anywhere       
      n/a
 REJECT     all  ----l-  anywhere             anywhere       
      n/a
 DENY       tcp  ------  anywhere             anywhere       
      any ->   netbios-ns:netbios-ssn
 DENY       udp  ------  anywhere             anywhere       
      any ->   netbios-ns:netbios-ssn
 DENY       icmp ------  localhost            anywhere       
      any ->   any
Chain forward (policy DENY):
 target     prot opt     source                destination   
       ports
 MASQ       all  ------  192.168.0.0/24       anywhere       
      n/a
 REJECT     all  ----l-  anywhere             anywhere       
      n/a
Chain output (policy REJECT):
 target     prot opt     source                destination   
       ports
 ACCEPT     all  ------  anywhere             192.168.0.0/24 
      n/a
 REJECT     all  ----l-  anywhere             192.168.0.0/24 
      n/a
 REJECT     all  ----l-  192.168.0.0/24       anywhere       
      n/a
 ACCEPT     all  ------  conet1.pirin.com     anywhere       
      n/a
 ACCEPT     all  ------  anywhere             anywhere       
      n/a
 REJECT     all  ----l-  anywhere             anywhere       
      n/a
 DENY       tcp  ------  anywhere             anywhere       
      any ->   netbios-ns:netbios-ssn
 DENY       udp  ------  anywhere             anywhere       
      any ->   netbios-ns:netbios-ssn

*****************
 Kak s ipchains da ograni4a niakoi ot ma6inite mi v mrejata
 da niamat dostap do internet. Opitah niakoi komandi no ne
 stana. Naprimer probvah slednoto. Iskam ma6inata s IP
 192.168.0.21 da ne moje da vliza v Internet. Pravia
slednoto:
 root@myhost:~# ipchains -A input -s 192.168.0.21 -p tcp -j
DENY
 root@myhost:~# ipchains -A output -s 192.168.0.21 -p tcp -j
DENY
No ne stava??? Niakoi ako moje da mi kaje kade barkam.


Отговор #1
От: ivan Дата: 02/13/2003
 naj verojatno predi da izpalnish tezi dve komandi, si zadal
 ACCEPT za vsichki. Izpalnjava se vinagi parvoto
saotvetstvasto pravilo.
 Naj dobre si napravi edin shell script, v kojto parvo
 iztrivash vsichki pravila, posle davash vsichki ACCEPT
 pravila i nakraja DROP na vsichki. Ima v internet kupista
primerni scriptove.

Uspeh



Отговор #2
От: hipodilski (root__at__pcfreak __точка__ cc) Дата: 02/13/2003
heh vizhdash li gi tezi redove iztrii si 
redovete koito ti rejectvat packeti na tcp i udp
anywhere i ste se opravi
predlagam ti ipchains -F
 i da si napravish firewall-a nanovo ili get-ni gotov i go
portni kato za tebe si ...
  a
 
     n/a
  ACCEPT     all  ------  conet1.pirin.com     anywhere      

      n/a
  ACCEPT     all  ------  anywhere             anywhere      

      n/a
  REJECT     all  ----l-  anywhere             anywhere      

      n/a
  DENY       tcp  ------  anywhere             anywhere      

      any ->   netbios-ns:netbios-ssn
  DENY       udp  ------  anywhere             anywhere      

      any ->   netbios-ns:netbios-ssn



                     all the best fuck the rest
                  -====www.pcfreak.cc====- -- Fuck Microsoft
- Stay Free !


Отговор #3
От: Sudo Дата: 02/14/2003
 Не е никак сложен ipchains, има две прости правила които
 трябва да се знаят преди да почнеш да пишеш каквито и да
било firewall-rules.
 1. Пакетите които са от вътрешната мрежа и са за Интернет се
 обработват от forward policy, input е за пакетите които са
за твоята машина, output - от твоята машина за някъде си.
 2. Пакетите се обработват по реда във веригата както е
 показана от ipchains -L и при съвпадение НЕ се обработват
 повече, ако не отговарят на нито едно условие тогава се
изпълнява default policy на веригата, т.е.:
root@boza:~# ipchains -L
Chain forward (policy DENY):
  target     prot opt     source                destination  

  MASQ       all  ------  192.168.0.0/24       anywhere      

  REJECT     all  ------  192.168.0.0/24       anywhere      

 втория ред НИЩО не прави тъй като пакет със source address
192.168.0.X е минал по първия ред и е заминал. 
 3. Командата -А добавя накрая на веригата правило, а -I
добавя в началото на веригата т.е. пак горния пример:
 root@boza:ipchains -A forward -s 192.168.0.0/24 -d any/0 -j
MASQ
 root@boza:ipchains -A forward -s 192.168.0.1 -d any/0 -j
DENY
получава се :
  MASQ       all  ------  192.168.0.0/24       anywhere      

 REJECT     all  ------  192.168.0.1       anywhere       
 втория ред пак нищо не прави, щото пакета със source address
192.168.0.1 е минал по първия ред и е заминал. 
 Та да дойдем и до отговора на питането, командата която ти
трябва е:
ipchains -I forward -s 192.168.0.1 -d any/0 -j DENY

Успех

 Btw. наистина имаш много правила за 2 интерфейса, аз за 5
имам почти толкова :)))



Отговор #4
От: na4inae6t Дата: 02/15/2003
Мерси много Sudo помогна ми на питането.
 Стана работата. По-нататък ще пробвам да го направя да е в
 някой скрипт, да не го правя винаги при растарт на 
машината.
-:))
10-Х Sudo...


<< SPESHNO:problem s apache (1 ) | Ima trafik samo w ednata posoka (3 ) >>

 
© 2011-... Асоциация "Линукс за българи"
© 2007-2010 Линукс за българи ЕООД
© 1999-2006 Slavej Karadjov
Ако искате да препечатате или цитирате информация от този сайт прочетете първо това
Външния вид е направен от MOMCHE
Code Version: 1.0.8 H (Revision: 23-09-2011)
 
Изпълнението отне: 0 wallclock secs ( 0.07 usr + 0.01 sys = 0.08 CPU)