Отпечатай - SPOOF PROTECTION in SuSEfirewall2

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: kris_p в Sep 03, 2004, 20:43

Ta, napravo zapochvam s problema. Na ROUTER i WEBSERVER polzvam SuSEfirewall2 (SuSE9.0 - kernel 2.4.21), poradi prostata prichina che nikakuv drug firewall s iptables ne iska da raboti kakto trqbva. Samo che i vuprosniq SuSEfirewall2 ima edna glupost narechena SPOOF PROTECTION, koqto pravi slednoto:
nito edno ot vutreshnite PC-ta (192.168.0.0/24) ne moje da otvori WEBSERVER-a kato go zaqvi chrez domain-a (resp. vunshnoto IP). Za cqlata vutreshna mreja WEBSERVER-a e dostupen samo po vutreshnoto IP (http://192.168.0.101). Prichinata nai veroqtno e v tova che vutreshnite PC-ta se maskirat s realnoto IP na samiq WEBSERVER i firewall-a gi reje. Nqkoi moje li da okaje malko pomosht. Kak da mahna vuprosniq SPOOF PROTECTION na firewall-a. Eto malko poveche info:

Chain INPUT (policy DROP)
target prot opt source destination
------------------------------------------------------------------------------------------

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpts:137:138
LOG all -- 127.0.0.0/8 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
LOG all -- 0.0.0.0/0 127.0.0.0/8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 127.0.0.0/8 0.0.0.0/0
DROP all -- 0.0.0.0/0 127.0.0.0/8
LOG all -- 192.168.0.101 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 192.168.0.101 0.0.0.0/0
LOG all -- 213.82.215.68 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 213.82.215.68 0.0.0.0/0
input_ext all -- 0.0.0.0/0 213.82.215.68
input_int all -- 0.0.0.0/0 192.168.0.101
DROP all -- 0.0.0.0/0 192.168.0.255
DROP all -- 0.0.0.0/0 255.255.255.255
LOG all -- 0.0.0.0/0 213.82.215.68 LOG flags 6 level 4 prefix `SuSE-FW-ACCESS_DENIED_INT '
DROP all -- 0.0.0.0/0 213.82.215.68
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

blagodarq predvaritelno.
|rabbeat|

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: в Sep 03, 2004, 21:42

Ако си беше направил труда да попрегледаш форумите, щеше да попаднеш на великолепен продукт за това, което ти трябва - SHOREWALL

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: kris_p в Sep 03, 2004, 22:42

Abe hora ... NE ISKAM drug firewall da slagam ... tozi na SuSE-to e dostatuchno slojen i pulen s bezmisleni tablici ...
No za sujalenie po prostite, koito probvah ne rabotqt ili moje bi az neshto ne pravq kakto trqbva ... zashtoto se poluchava stranno neshto ... vutreshnite PC-ta imat ping do vsqka tochka ... no WEB-a nikuv go nqma s izkliuchenie na www.google.com ... nqkakvi idei???

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: n_antonov в Sep 03, 2004, 23:43

Преди да наречеш нещо сложно и безсмислено, вземи малко смири се, запретни ръкави и се поограмоти. Какво те кара да мислиш че въпосната защита срещу мамене е причина да не ти се отварят страниците? Според мен, причината е преди всичко в пръстите, които цъкат по клавиатурата. Поогледай си правилата и виж дали не си забранил малко повече неща, отколкото трябва.

Успех!

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: ohubohu в Sep 04, 2004, 02:23

Sorry, za lipsata na kirilica

Nedorazbrah problema:
Ne mojesh ot watreshnata mreja (192.168.x.0) da se zakachish na vanshia interface (80.72.22.21), taka li?
Ili?

Obiasni go, zastoto i az sam sas SuSE, ednoto e 8.0, drugoto 9.1 i takav problem niamam. SuSEfirewall2 se configurira za otcatelno vreme. Za sajalenie, tova e prichinata da ne sam izuchil iptables

Davaj infoto i ste pomagame.

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: Uvigii в Sep 04, 2004, 03:19

Цитат

pulen s bezmisleni tablici ...

Ами като са безсмислени ...
вземи ги махни ...

Ако не разбираш нещо не би трябвало да го обявяваш за безсмислено!
дай сега всички "безсмислени" таблици да ги видим ...
и пусни едно -v ако не те затруднява .... щото от

Цитат

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

излиза , че всички по-нататъшни правила са излишни

Поздрави.

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: kris_p в Sep 04, 2004, 09:48

Цитат (ohubohu @ Сеп. 04 2004,03:23)

Ne mojesh ot watreshnata mreja (192.168.x.0) da se zakachish na vanshia interface (80.72.22.21), taka li?
Ili?

tochno taka ... i az polzvam SuSE 9.1 na drugo PC i pri nego takuv problem nqma. Chudq se dali ne moga da izpolzvam firewall-a ot 9.1 da go sloja na SuSE 9.0

... A ako nqkoi e po v chas s iptables eto razlikata v INPUT Chain-a na dvata firewall-a:

LOG all -- 127.0.0.0/8 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
LOG all -- 0.0.0.0/0 127.0.0.0/8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 127.0.0.0/8 0.0.0.0/0
DROP all -- 0.0.0.0/0 127.0.0.0/8
LOG all -- 192.168.0.101 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 192.168.0.101 0.0.0.0/0
LOG all -- 213.82.215.68 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- 213.82.215.68 0.0.0.0/0

vuprosnite redove pri ednakvo konfiguriran firewall lipsvat pri SuSE 9.1 soutvetno i problema go nqma.

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: kris_p в Sep 04, 2004, 10:00

Цитат (Uvigii @ Сеп. 04 2004,04:19)

щото от
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
излиза , че всички по-нататъшни правила са излишни

Uvigii, qvno ne sa izlishni ostanalite pravila ... shtoto firewall-a si raboti dobre kato izkliuchim malkiq "problem".

A eto i verbose-to ...

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
5466 687K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
18870 3216K ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpts:137:138
   0 0 LOG all -- * * 127.0.0.0/8 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
   0 0 LOG all -- * * 0.0.0.0/0 127.0.0.0/8 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
   0 0 DROP all -- * * 127.0.0.0/8 0.0.0.0/0
   0 0 DROP all -- * * 0.0.0.0/0 127.0.0.0/8
   0 0 LOG all -- * * 192.168.0.101 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
   0 0 DROP all -- * * 192.168.0.101 0.0.0.0/0
   0 0 LOG all -- * * 213.82.215.68 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-DROP-ANTI-SPOOFING '
   0 0 DROP all -- * * 213.82.215.68 0.0.0.0/0
64911 8599K input_ext all -- ppp0 * 0.0.0.0/0 213.82.215.68
13898 6203K input_int all -- eth0 * 0.0.0.0/0 192.168.0.101
   0 0 DROP all -- eth0 * 0.0.0.0/0 192.168.0.255
   0 0 DROP all -- eth0 * 0.0.0.0/0 255.255.255.255
   34 1632 LOG all -- eth0 * 0.0.0.0/0 213.82.215.68 LOG flags 6 level 4 prefix `SuSE-FW-ACCESS_DENIED_INT '
   34 1632 DROP all -- eth0 * 0.0.0.0/0 213.82.215.68
   0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `SuSE-FW-ILLEGAL-TARGET '
   0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Титла: SPOOF PROTECTION in SuSEfirewall2
Публикувано от: ohubohu в Sep 04, 2004, 21:02

Цитат

Chudq se dali ne moga da izpolzvam firewall-a ot 9.1 da go sloja na SuSE 9.0

Мисля, че няма проблем, ама ще ти се наложи да прекомпилираш кърнел.
Другия хачин е да махнеш опцията "Protect fro internal"

УспехЧ

Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: kris_p в Sep 03, 2004, 20:43