Автор Тема: firewall -> iptables  (Прочетена 8162 пъти)

phantomlord

  • Напреднали
  • *****
  • Публикации: 1832
  • Distribution: Debian Sid
  • Window Manager: KDE 4
  • Fall to your knees and bow to the Phantom Lord
    • Профил
    • WWW
firewall -> iptables
« Отговор #15 -: Dec 02, 2005, 00:19 »
Цитат
Искам да си настроя някакъв прост firewall

Ами виж Firestarter.
Активен

http://myfreesoft.net/phpBB2/index.php?c=7
Помогни си сам, за да ти помогне и Господ
Linux - connecting people...

NaDa

  • Напреднали
  • *****
  • Публикации: 94
    • Профил
firewall -> iptables
« Отговор #16 -: Dec 02, 2005, 10:49 »
http://www.shorewall.net/
Активен

anakinn

  • Напреднали
  • *****
  • Публикации: 190
    • Профил
firewall -> iptables
« Отговор #17 -: Dec 02, 2005, 15:08 »
vlad73:
Това не можах да разбера как да го добавя в iptables.
Иначе го прочетох.
Клиента няма firewall. От моя Уиндоус, от друг и от още едно fbsd съм пробвал. Уиндоусите нямат файруол. Машините са от локалната мрежа, в която е и въпросния линукс генту.

Иначе firewall-a заприлича на това

#!bin/sh
ipt=/sbin/iptables
$ipt -F
$ipt -X
$ipt -t nat -X
$ipt -t nat -F
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
$ipt -t mangle -X
$ipt -t mangle -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.200 --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.200 --dport 2221 -j ACCEPT
$ipt -A INPUT -p tcp -s 192.168.1.12 --dport 2221 -j ACCEPT
$ipt -A INPUT -p tcp  --dport 443 -j ACCEPT
$ipt -A INPUT -p tcp  --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp  -s localhost -j ACCEPT


10x to dr-who  'B)'
Активен

vlad73

  • Напреднали
  • *****
  • Публикации: 130
    • Профил
firewall -> iptables
« Отговор #18 -: Dec 02, 2005, 16:09 »
ами гледам, че става така:

iptables -A INPUT -m helper --helper ftp-2221

но резултата ми е неизвестен '<img'>

никаква промяна ли не настъпи с "modprobe ip_conntrack_ftp"?
Активен

anakinn

  • Напреднали
  • *****
  • Публикации: 190
    • Профил
firewall -> iptables
« Отговор #19 -: Dec 02, 2005, 17:09 »
Значи пробвах с
ptables -A INPUT -m helper --helper ftp-2221
после с
ptables -A INPUT -m helper --helper ftp-2221 -j ACCEPT
но пак се достига до същото положение.

Този модул трябва от кернела да го добавя нали?
Къде по-точно мога да го намеря?
Активен

  • Гост
firewall -> iptables
« Отговор #20 -: Dec 02, 2005, 17:13 »
От ситуацията която виждам момчета правите странни работи които са излишни, във firewall-a се описва порт-а на който слуща ftp-to и няма нищо общо това на кой порт прави data-connection-a  другия комютър от който се закачате, проблема е във фтп сървърите ви, а не във firewall-a

Поздрави dr-who
Активен

  • Гост
firewall -> iptables
« Отговор #21 -: Dec 02, 2005, 17:16 »
с този firewall който си дал ти anakinn, ти е разрешен порт 2221
ако фтп-то слуша и работи без проблем на този порт, ип-тата:
192.168.1.200 и 1.12 както и локалхоста ти нямат проблем да влизат и да ползват фтп-то. Проблема ти е във фтп даемона, ако не можеш и локално да го ползваш. помисли вариантите за сменяне на даемона с друг такъв
Активен

  • Гост
firewall -> iptables
« Отговор #22 -: Dec 02, 2005, 17:21 »
$ipt -P INPUT DROP
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT - излишно в случая

-----

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0

-----

root@mail:~# ftp localhost
Connected to localhost.
220 mail.knackery.net NcFTPd Server (licensed copy) ready.
Name (localhost:antov):

-----

root@mail:~# ftp mail.knackery.net
Connected to mail.knackery.net.
220 mail.knackery.net NcFTPd Server (licensed copy) ready.
Name (mail.knackery.net:antov):

-----

Поздрави dr-who
Активен

zeridon

  • Killmode enabled
  • Administrator
  • Напреднали
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
firewall -> iptables
« Отговор #23 -: Dec 02, 2005, 18:56 »
Така пичове всички изтървахте един много тънък момент  ftp клиента минава във passive пасивните портове са съвсем други и те трябва да са отворени на firewall-а

Виж кои са портовете които са описани за passive mode и ги отвори.
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

anakinn

  • Напреднали
  • *****
  • Публикации: 190
    • Профил
firewall -> iptables
« Отговор #24 -: Dec 05, 2005, 09:34 »
zeridon:
кои портове да гледам - тези в netstat на линукса или тези, които виждам от фтп клиента (например FileZilla например - 33325,33327,33329)

В netstat виждам това
tcp        0      0 192.168.1.99:2221       192.168.1.200:2802      TIME_WAIT
tcp        0      0 192.168.1.99:5995       192.168.1.200:2803      ESTABLISHED
tcp        1      0 192.168.1.99:2221       192.168.1.200:2794      CLOSE_WAIT
Активен

anakinn

  • Напреднали
  • *****
  • Публикации: 190
    • Профил
firewall -> iptables
« Отговор #25 -: Dec 05, 2005, 13:30 »
Най-накрая '<img'>
в proftpd.conf
PassivePorts    2222 2222

и още нещо ако може да питам...
като пусна nmap -v -A -T4 -P0 -p1-60000 192.168.1.99
открива само 443 порт - което е хубаво, но показва много детайли за кернела и ОС-а. Това с iptables ли се скрива или нещо в kernela?

Всичко върви чудесно '<img'>
Много Благодаря на всички, които помогнаха !!!
Активен

  • Гост
firewall -> iptables
« Отговор #26 -: Dec 05, 2005, 15:24 »
Не знам дали ще можеш да скриеш нещо, но може поне да затрудниш нещата с iptables - направи си port-scan защита - примерно с PSD пача на POM, или добави правила за SYN, FIN, RST port-scan чрез ограничаване на тези пакети с --limit match-a
Активен

anakinn

  • Напреднали
  • *****
  • Публикации: 190
    • Профил
firewall -> iptables
« Отговор #27 -: Dec 05, 2005, 16:48 »
Нещо от типа на iptables -A INPUT -p -tcp-flags SYN,FIN RST -j DROP (или REJECT)

Обаче си помислих че е добра идея сървъра да "работи"
Т.е. Например ако има проблем с него, как мога да разбера дали е пуснат - най-лесно с пинг '<img'>

Не е лесна работа това
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
firewall -> iptables
« Отговор #28 -: Dec 05, 2005, 17:01 »
http://www.linux-bg.org/cgi-bin....а+стена
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables Firewall Script
Настройка на програми
Vasil_T 5 2517 Последна публикация Sep 01, 2004, 17:06
от Vasil_T
Arno-iptables-firewall
Настройка на програми
limbozon 4 2018 Последна публикация Apr 11, 2010, 15:33
от limbozon
Arno-iptables-firewall въпрос
Настройка на програми
limbozon 5 2287 Последна публикация Apr 19, 2010, 19:15
от borovaka
Помощ за iptables firewall.
Настройка на програми
v13 1 1566 Последна публикация Dec 24, 2011, 23:07
от Bogo
Iptables Firewall Examples
Настройка на програми
User13 7 2687 Последна публикация Jun 14, 2017, 08:12
от User13