Тема: initial firewall script (Прочетена 5467 пъти)

VladSun · « **Отговор #15 -:** Jan 16, 2005, 23:21 »

Soulstealer

Цитат

до колко е secure тоя state NEW а ?

Еми дотолкова че позволяваш от вътрешната мрежа да правят нови конецкии към сървера ти - т.е. ако го комбинираш с порт правило можеш да ги ограничиш само до определен порт новите конекции (прим. 53, 21, 80 и .тн.)

Астор

Цитат

Здравейте, странно но при моя firewall точно без това NEW във FORWARD веригата си работи идеално:

DNS сървера в случая се намира в gateway-a, т.е. не е транзитен поток (FORWARD) а е насочен към самата машина (INPUT). С твоето правило указваш да не могат да се правят нови конекции от външната страна към локалната мрежа

Bogo
Много интересен сайт, ще разгледам за нещо ново

'>

VladSun · « **Отговор #16 -:** Jan 16, 2005, 23:24 »

Цитат (Soulstealer @ Ян. 16 2005,11 ':0'

)

Source-а и destination-а на INPUT и OUTPUT не съм ги пипал...все пак съм гледал от примерен script от един iptables tutorial не вярвам хората там да са сгрешили <!--emo&

'>
както и да е...мерси отново

Сега чак се вгледах, че LAN_IP ти е ИП-то на вътрешния интерфейс, а не локалната мрежа (т.е. прим. 192.168.1.0/24)

'> Нищо де, нали се оправи

'>

Soulstealer · « **Отговор #17 -:** Jan 17, 2005, 12:04 »

VladSun, в момента с този ред

Примерен код

$IPTABLES -A INPUT -p ALL -d $STATIC_IP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

ми "отваря" външния интерфейс $STATIC_IP ми е IP-то на външния интерфейс, а това не ми се струва много security издържано

'>
и се питам защо след като от вътрешната мрежа до IP-то от вътрешния интерфейс всичко е на ACCEPT трябва да разреша и нови "връзки" към външния адрес ? Какво общо има външното ми IP с вътрешната мрежа?

VladSun · « **Отговор #18 -:** Jan 18, 2005, 01:08 »

Еми ти не би трябвало да отваряш външния интерфейс, а вътрешния - за какво й е на лок. мрежа да се обръща към ДНС-а през външния интерфейс?

Soulstealer · « **Отговор #19 -:** Jan 18, 2005, 01:28 »

Ама нали и аз това питам

'>

Цитат

Какво общо има външното ми IP с вътрешната мрежа?

VladSun · « **Отговор #20 -:** Jan 18, 2005, 16:11 »

$IPTABLES -A INPUT -i eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

това, ако eth1 ти е вътрешния интерфей, а eth0 - външния

няма нужда да работиш с ип-та ...

П.С. от -p ALL няма нужда - то си е по подразбиране (май винаги, когато пропускаш параметър се подразбира ALL)

Uvigii · « **Отговор #21 -:** Jan 18, 2005, 23:52 »

-i lo ?

VladSun · « **Отговор #22 -:** Jan 19, 2005, 00:38 »

Цитат (Uvigii @ Ян. 18 2005,23:52)

-i lo ?

какво за него?

Uvigii · « **Отговор #23 -:** Jan 19, 2005, 14:00 »

Цитат (Uvigii @ Ян. 18 2005,23:52)

-i lo ?

Цитат (VladSun @ Ян. 19 2005,01:38)

какво за него?

Цитат (Soulstealer @ Ян. 13 2005,00:20)

Или с други думи като напиша името в browser-а на самия router и не се resove-ва, но ако го пробвам от машина в мрежата...няма проблем

nenni · « **Отговор #24 -:** Jan 19, 2005, 17:59 »

s kakav adres tarsish tvoq dns server. ako e s vanshen nali se sehstash 4e otiva na eth0-vanshna nic.
za zonite sashto beshe spomenal, ako zonata koqto ne moge da ti otgovori e s realni adresi pak si v tova pologenie.
moge i da gresha.

Soulstealer · « **Отговор #25 -:** Jan 20, 2005, 11:59 »

Разбира се, че зоната е с вътрешен адрес

'>

OVP · « **Отговор #26 -:** Jan 21, 2005, 02:43 »

Аз също имам пуснат DNS на мойта машина, настроил съм го така че ако неможе да намери търсената информациа в своите зони да пита DNSа на доставчика ми. В /etc/resolv.com съм писал само nameserver 127.0.0.1 . Мисля че отначало имах подобен проблем, но го оправих. Доколкото знам има значение на кое място се слагат правилата във веригите на iptables (всеки един пакет се сравнява дали отговаря на правилото и ако да се изпълнява политиката на това правило, ако неотговаря на нито едно се изпалнява общата политика на веригата) така че трябва да се внимава кое каде се пише. Аз ползвах тоя tutorial iptables

Примерен код

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
....

Примерен код

00:18:25.500204 IP 127.0.0.1.32780 > 127.0.0.1.53: 12057+ A? abv.bg. (24)
00:18:25.501023 IP 127.0.0.1.53 > 127.0.0.1.32780: 12057 5/3/3 A 194.153.145.80, A[|domain]

протокола е UDP/53
Незнам какво си писал в /etc/resolv.com най вероятно nameserver 127.0.0.1 , обаче забелязявам че всичките ти опити да оправиш проблема са насочени към ethX вместо lo

Uvigii · « **Отговор #27 -:** Jan 21, 2005, 11:34 »

Цитат (OVP @ Ян. 21 2005,03:43)

обаче забелязявам че всичките ти опити да оправиш проблема са насочени към ethX вместо lo

Мда ... съгласен!

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	firewall Хардуерни и софтуерни проблеми	wandererbg	1	2465	Sep 14, 2003, 14:35 от n_antonov
	firewall Настройка на хардуер	velomen	5	4033	Mar 31, 2004, 12:36 от kennedy
	Настройка на firewall-а за игра от LAN в Интернет Настройка на програми	etvagonema	4	3083	Apr 04, 2004, 23:58 от hellmare
	help: Firewall & more? Настройка на програми	st0rmblast	2	2181	May 05, 2004, 11:54 от n_antonov
	Iptables Firewall Script Настройка на програми	Vasil_T	5	2559	Sep 01, 2004, 17:06 от Vasil_T

Автор Тема: initial firewall script (Прочетена 5467 пъти)