Титла: За rc.firewall
Публикувано от: plandz в Sep 01, 2008, 22:11
Здравейте!
Искам да помоля знаещите и можещите потребители да ми помогнат,защото изчетох много неща,но май всичко ми се обърка окончателно в главата.
За какво става въпрос:
Нищо (или почти нищо,което е същото) не разбирам от конфигуриране на защитна стена.Затова използвах Guarddog,за да си разреша протоколите,които са ми нужни за работа.Обаче,при разрешаване на протокола за Bit-torrent,видях,че разрешените портове,които програмата има са 6881-6889,което мен не ме устройва,защото използвам зададен порт примерно 55500 в Azureus-а.Използвах опцията за задаване на мой протокол със съответните портове (и за TCP и за UDP - 55500),но след като го приложих,в Азуреус-а нещата не са добре - "зад защитна стена" и не ме виждат.Когато изключа стената,всичко си идва по местата.
Затова си позволявам да попитам знаещите потребители,как да направя така,че да си разреша този примерен порт и стената да не го блокира?Мисля (това е мое мнение,което може и да не е вярно),че трябва нещо да се промени или добави в rc.firewall.
Работя с Mandriva Linux 2008.1
Благодаря предварително на всички,отзовали се!
Искам да помоля знаещите и можещите потребители да ми помогнат,защото изчетох много неща,но май всичко ми се обърка окончателно в главата.
За какво става въпрос:
Нищо (или почти нищо,което е същото) не разбирам от конфигуриране на защитна стена.Затова използвах Guarddog,за да си разреша протоколите,които са ми нужни за работа.Обаче,при разрешаване на протокола за Bit-torrent,видях,че разрешените портове,които програмата има са 6881-6889,което мен не ме устройва,защото използвам зададен порт примерно 55500 в Azureus-а.Използвах опцията за задаване на мой протокол със съответните портове (и за TCP и за UDP - 55500),но след като го приложих,в Азуреус-а нещата не са добре - "зад защитна стена" и не ме виждат.Когато изключа стената,всичко си идва по местата.
Затова си позволявам да попитам знаещите потребители,как да направя така,че да си разреша този примерен порт и стената да не го блокира?Мисля (това е мое мнение,което може и да не е вярно),че трябва нещо да се промени или добави в rc.firewall.
Работя с Mandriva Linux 2008.1
Благодаря предварително на всички,отзовали се!
Титла: За rc.firewall
Публикувано от: Ivshti в Sep 02, 2008, 00:52
| Примерен код |
iptables -A INPUT -p tcp --dport PORT -j ACCEPT |
Заменяш PORT със забранения порт
Нещо такова ще е, не разбирам много от iptables. Ако има нещо, поправяйте Титла: За rc.firewall
Публикувано от: neter в Sep 02, 2008, 01:05
Ivshti е прав, но донякъде. Зависи какви правила имаш добавени вече в защитната стена. Може да имаш предходно правило, което забранява въпросния порт и колкото и да го позволяваш в следващи правила, ефект няма да има. Покажи изхода от командата
за да видим какви ги е подредил Guarddog до момента и опиши какво, как и в каква последователност си описал в самия Guarddog
P.S.: Можеш да добавиш правилото на Ivshti малко променено, за да игнорираш вероятността от преходни забраняващи правила, а именно
където трябва да заместиш PORT със съответния ти нужен. Все пак, покажи изхода от командата, която ти казах. Не съм привърженик на използването на подобни на Guarddog инструменти, защитни стени трябва да се изграждат ръчно, но щом си започнал с него, нека довършим с него.
| Примерен код |
| iptables -L |
за да видим какви ги е подредил Guarddog до момента и опиши какво, как и в каква последователност си описал в самия Guarddog
P.S.: Можеш да добавиш правилото на Ivshti малко променено, за да игнорираш вероятността от преходни забраняващи правила, а именно
| Примерен код |
| iptables -I INPUT 1 -p tcp --dport PORT -j ACCEPT |
където трябва да заместиш PORT със съответния ти нужен. Все пак, покажи изхода от командата, която ти казах. Не съм привърженик на използването на подобни на Guarddog инструменти, защитни стени трябва да се изграждат ръчно, но щом си започнал с него, нека довършим с него.
Титла: За rc.firewall
Публикувано от: bnight в Sep 02, 2008, 10:51
И обсъждайки тази тема някой да даде правила който забраняват ползването на Torenti зад firewall-a ? Ще се радвам някой да помогне с това.
Опа аз видях тема за това извинявам се за въпроса. Поздрави.
Опа аз видях тема за това извинявам се за въпроса. Поздрави.
Титла: За rc.firewall
Публикувано от: plandz в Sep 02, 2008, 19:23
Изхода от iptables -L е това:
Chain INPUT (policy DROP)
target prot opt source destination
Ifw all -- anywhere anywhere
eth0_in all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
eth0_fwd all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
eth0_out all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject all -- anywhere anywhere
Chain Drop (1 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
DROP udp -- anywhere anywhere multiport dports 135,microsoft-ds
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
DROP tcp -- anywhere anywhere multiport dports 135,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain Ifw (1 references)
target prot opt source destination
Chain Reject (6 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
reject udp -- anywhere anywhere multiport dports 135,microsoft-ds
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
reject tcp -- anywhere anywhere multiport dports 135,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain all2fw (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2fw:REJECT:'
reject all -- anywhere anywhere
Chain all2net (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2net:REJECT:'
reject all -- anywhere anywhere
Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4
Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
Chain dynamic (2 references)
target prot opt source destination
Chain eth0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
Chain eth0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
net2fw all -- anywhere anywhere
Chain eth0_out (1 references)
target prot opt source destination
fw2net all -- anywhere anywhere
Chain fw2all (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:fw2all:REJECT:'
reject all -- anywhere anywhere
Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
reject all -- anywhere anywhere
Chain net2fw (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Drop all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2fw:DROP:'
DROP all -- anywhere anywhere
Chain reject (13 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match src-type BROADCAST
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain shorewall (0 references)
target prot opt source destination
Chain smurfs (0 references)
target prot opt source destination
RETURN all -- default anywhere
LOG all -- anywhere anywhere ADDRTYPE match src-type BROADCAST LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- anywhere anywhere ADDRTYPE match src-type BROADCAST
LOG all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
За последователност - малко ми е трудно да кажа,просто съм разрешил необходимите протоколи в зона "Интернет" по реда по който са наредени там(този ред не може да се променя от мен).Ако е необходимо,ще ги напиша и кои са в същия ред.
Пробвах да си оправя нещата с KMyFirewall и ето какво се получи при iptables -L :
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 5/sec burst 5 icmp echo-request
ACCEPT all -- localhost anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:5050
ACCEPT tcp -- anywhere anywhere multiport dports 6679,6697
ACCEPT tcp -- anywhere anywhere tcp dpt:xmmps
ACCEPT tcp -- anywhere anywhere tcp dpt:5050
ACCEPT tcp -- anywhere anywhere tcp dpt:55558
ACCEPT udp -- anywhere anywhere udp dpt:55558
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:smtps
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:26434
ACCEPT tcp -- anywhere anywhere tcp dpt:990
ACCEPT udp -- anywhere anywhere multiport dports bootps,bootpc
ACCEPT tcp -- anywhere anywhere tcp dpt:647
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level warning prefix `KMF: '
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Сега вече порта ми е разрешен и в Азуреус-а нещата са добре.
Ако нещо не ви изглежда добре,ще се радвам да ми напишете!Благодаря ви пак предварително!
Chain INPUT (policy DROP)
target prot opt source destination
Ifw all -- anywhere anywhere
eth0_in all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
eth0_fwd all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
eth0_out all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject all -- anywhere anywhere
Chain Drop (1 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
DROP udp -- anywhere anywhere multiport dports 135,microsoft-ds
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
DROP tcp -- anywhere anywhere multiport dports 135,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain Ifw (1 references)
target prot opt source destination
Chain Reject (6 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
reject udp -- anywhere anywhere multiport dports 135,microsoft-ds
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
reject tcp -- anywhere anywhere multiport dports 135,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain all2fw (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2fw:REJECT:'
reject all -- anywhere anywhere
Chain all2net (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2net:REJECT:'
reject all -- anywhere anywhere
Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4
Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
Chain dynamic (2 references)
target prot opt source destination
Chain eth0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
Chain eth0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
net2fw all -- anywhere anywhere
Chain eth0_out (1 references)
target prot opt source destination
fw2net all -- anywhere anywhere
Chain fw2all (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:fw2all:REJECT:'
reject all -- anywhere anywhere
Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
reject all -- anywhere anywhere
Chain net2fw (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Drop all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2fw:DROP:'
DROP all -- anywhere anywhere
Chain reject (13 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match src-type BROADCAST
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain shorewall (0 references)
target prot opt source destination
Chain smurfs (0 references)
target prot opt source destination
RETURN all -- default anywhere
LOG all -- anywhere anywhere ADDRTYPE match src-type BROADCAST LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- anywhere anywhere ADDRTYPE match src-type BROADCAST
LOG all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
За последователност - малко ми е трудно да кажа,просто съм разрешил необходимите протоколи в зона "Интернет" по реда по който са наредени там(този ред не може да се променя от мен).Ако е необходимо,ще ги напиша и кои са в същия ред.
Пробвах да си оправя нещата с KMyFirewall и ето какво се получи при iptables -L :
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 5/sec burst 5 icmp echo-request
ACCEPT all -- localhost anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:5050
ACCEPT tcp -- anywhere anywhere multiport dports 6679,6697
ACCEPT tcp -- anywhere anywhere tcp dpt:xmmps
ACCEPT tcp -- anywhere anywhere tcp dpt:5050
ACCEPT tcp -- anywhere anywhere tcp dpt:55558
ACCEPT udp -- anywhere anywhere udp dpt:55558
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:smtps
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:26434
ACCEPT tcp -- anywhere anywhere tcp dpt:990
ACCEPT udp -- anywhere anywhere multiport dports bootps,bootpc
ACCEPT tcp -- anywhere anywhere tcp dpt:647
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level warning prefix `KMF: '
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Сега вече порта ми е разрешен и в Азуреус-а нещата са добре.
Ако нещо не ви изглежда добре,ще се радвам да ми напишете!Благодаря ви пак предварително!