|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: na4inae6t (ispa< at >dir[ точка ]bg) |
Дата: 02/13/2003 |
Imam pitane. Imam 2 Linux servera.Imam 15-20 PC-ta v LAN-a.
Ediniat e s 2 mrejovi karti. eth0 e kam ISP, a eth1 kam
switch-a na Ethernet-a mi. Eto gi:
*****************
root@myhost:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:40:F4:27:79:65
inet addr:XXX.72.223.28 Bcast:XXX.72.223.63
Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500
Metric:1
RX packets:491006 errors:0 dropped:0 overruns:0
frame:0
TX packets:301033 errors:0 dropped:0 overruns:0
carrier:0
collisions:1810 txqueuelen:100
RX bytes:354876106 (338.4 Mb) TX bytes:59391671
(56.6 Mb)
Interrupt:12 Base address:0xd800
eth1 Link encap:Ethernet HWaddr 00:40:F4:27:73:7D
inet addr:192.168.0.10 Bcast:192.168.0.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500
Metric:1
RX packets:337435 errors:0 dropped:0 overruns:0
frame:0
TX packets:324919 errors:0 dropped:0 overruns:0
carrier:0
collisions:0 txqueuelen:100
RX bytes:66709324 (63.6 Mb) TX bytes:348704748
(332.5 Mb)
Interrupt:10 Base address:0xd400
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:187 errors:0 dropped:0 overruns:0
frame:0
TX packets:187 errors:0 dropped:0 overruns:0
carrier:0
collisions:0 txqueuelen:0
RX bytes:20251 (19.7 Kb) TX bytes:20251 (19.7
Kb)
*****************
A tova imam kato ipchains:
**************************
root@myhost:~# ipchains -L
Chain input (policy REJECT):
target prot opt source destination
ports
ACCEPT all ------ 192.168.0.0/24 anywhere
n/a
REJECT all ----l- 192.168.0.0/24 anywhere
n/a
ACCEPT all ------ anywhere
myhost.xxxxx.com n/a
ACCEPT all ------ anywhere anywhere
n/a
REJECT all ----l- anywhere anywhere
n/a
DENY tcp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
DENY udp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
DENY icmp ------ localhost anywhere
any -> any
Chain forward (policy DENY):
target prot opt source destination
ports
MASQ all ------ 192.168.0.0/24 anywhere
n/a
REJECT all ----l- anywhere anywhere
n/a
Chain output (policy REJECT):
target prot opt source destination
ports
ACCEPT all ------ anywhere 192.168.0.0/24
n/a
REJECT all ----l- anywhere 192.168.0.0/24
n/a
REJECT all ----l- 192.168.0.0/24 anywhere
n/a
ACCEPT all ------ conet1.pirin.com anywhere
n/a
ACCEPT all ------ anywhere anywhere
n/a
REJECT all ----l- anywhere anywhere
n/a
DENY tcp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
DENY udp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
*****************
Kak s ipchains da ograni4a niakoi ot ma6inite mi v mrejata
da niamat dostap do internet. Opitah niakoi komandi no ne
stana. Naprimer probvah slednoto. Iskam ma6inata s IP
192.168.0.21 da ne moje da vliza v Internet. Pravia
slednoto:
root@myhost:~# ipchains -A input -s 192.168.0.21 -p tcp -j
DENY
root@myhost:~# ipchains -A output -s 192.168.0.21 -p tcp -j
DENY
No ne stava??? Niakoi ako moje da mi kaje kade barkam.
|
Отговор #1 |
От: ivan |
Дата: 02/13/2003 |
naj verojatno predi da izpalnish tezi dve komandi, si zadal
ACCEPT za vsichki. Izpalnjava se vinagi parvoto
saotvetstvasto pravilo.
Naj dobre si napravi edin shell script, v kojto parvo
iztrivash vsichki pravila, posle davash vsichki ACCEPT
pravila i nakraja DROP na vsichki. Ima v internet kupista
primerni scriptove.
Uspeh
|
Отговор #2 |
От: hipodilski (root__at__pcfreak[ точка ]cc) |
Дата: 02/13/2003 |
heh vizhdash li gi tezi redove iztrii si
redovete koito ti rejectvat packeti na tcp i udp
anywhere i ste se opravi
predlagam ti ipchains -F
i da si napravish firewall-a nanovo ili get-ni gotov i go
portni kato za tebe si ...
a
n/a
ACCEPT all ------ conet1.pirin.com anywhere
n/a
ACCEPT all ------ anywhere anywhere
n/a
REJECT all ----l- anywhere anywhere
n/a
DENY tcp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
DENY udp ------ anywhere anywhere
any -> netbios-ns:netbios-ssn
all the best fuck the rest
-====www.pcfreak.cc====- -- Fuck Microsoft
- Stay Free !
|
Отговор #3 |
От: Sudo |
Дата: 02/14/2003 |
Не е никак сложен ipchains, има две прости правила които
трябва да се знаят преди да почнеш да пишеш каквито и да
било firewall-rules.
1. Пакетите които са от вътрешната мрежа и са за Интернет се
обработват от forward policy, input е за пакетите които са
за твоята машина, output - от твоята машина за някъде си.
2. Пакетите се обработват по реда във веригата както е
показана от ipchains -L и при съвпадение НЕ се обработват
повече, ако не отговарят на нито едно условие тогава се
изпълнява default policy на веригата, т.е.:
root@boza:~# ipchains -L
Chain forward (policy DENY):
target prot opt source destination
MASQ all ------ 192.168.0.0/24 anywhere
REJECT all ------ 192.168.0.0/24 anywhere
втория ред НИЩО не прави тъй като пакет със source address
192.168.0.X е минал по първия ред и е заминал.
3. Командата -А добавя накрая на веригата правило, а -I
добавя в началото на веригата т.е. пак горния пример:
root@boza:ipchains -A forward -s 192.168.0.0/24 -d any/0 -j
MASQ
root@boza:ipchains -A forward -s 192.168.0.1 -d any/0 -j
DENY
получава се :
MASQ all ------ 192.168.0.0/24 anywhere
REJECT all ------ 192.168.0.1 anywhere
втория ред пак нищо не прави, щото пакета със source address
192.168.0.1 е минал по първия ред и е заминал.
Та да дойдем и до отговора на питането, командата която ти
трябва е:
ipchains -I forward -s 192.168.0.1 -d any/0 -j DENY
Успех
Btw. наистина имаш много правила за 2 интерфейса, аз за 5
имам почти толкова :)))
|
Отговор #4 |
От: na4inae6t |
Дата: 02/15/2003 |
Мерси много Sudo помогна ми на питането.
Стана работата. По-нататък ще пробвам да го направя да е в
някой скрипт, да не го правя винаги при растарт на
машината.
-:))
10-Х Sudo...
|
<< SPESHNO:problem s apache (1
) | Ima trafik samo w ednata posoka (3
) >>
|
|
|
|
|