Автор Тема: За rc.firewall  (Прочетена 1086 пъти)

plandz

  • Напреднали
  • *****
  • Публикации: 535
  • Distribution: Debian Testing
  • Window Manager: KDE
    • Профил
За rc.firewall
« -: Sep 01, 2008, 22:11 »
Здравейте!
Искам да помоля знаещите и можещите потребители да ми помогнат,защото изчетох много неща,но май всичко ми се обърка окончателно в главата.
За какво става въпрос:
Нищо (или почти нищо,което е същото) не разбирам от конфигуриране на защитна стена.Затова използвах Guarddog,за да си разреша протоколите,които са ми нужни за работа.Обаче,при разрешаване на протокола за Bit-torrent,видях,че разрешените портове,които програмата има са 6881-6889,което мен не ме устройва,защото използвам зададен порт примерно 55500 в Azureus-а.Използвах опцията за задаване на мой протокол със съответните портове (и за TCP и за  UDP - 55500),но след като го приложих,в Азуреус-а нещата не са добре - "зад защитна стена" и не ме виждат.Когато изключа стената,всичко си идва по местата.
Затова си позволявам да попитам знаещите потребители,как да направя така,че да си разреша този примерен порт и стената да не го блокира?Мисля (това е мое мнение,което може и да не е вярно),че трябва нещо да се промени или добави в rc.firewall.
Работя с Mandriva Linux 2008.1
Благодаря предварително на всички,отзовали се!
Активен
Ако се чувствате добре,не се тревожете.Ще ви мине. - Murphy's Laws

Ivshti

  • Напреднали
  • *****
  • Публикации: 322
  • Distribution: Linvo 2010.3
  • Window Manager: Gnome
    • Профил
    • WWW
За rc.firewall
« Отговор #1 -: Sep 02, 2008, 00:52 »
Примерен код

    iptables -A INPUT -p tcp --dport PORT -j ACCEPT

Заменяш PORT със забранения порт '<img'> Нещо такова ще е, не разбирам много от iptables. Ако има нещо, поправяйте '<img'>



Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
За rc.firewall
« Отговор #2 -: Sep 02, 2008, 01:05 »
Ivshti е прав, но донякъде. Зависи какви правила имаш добавени вече в защитната стена. Може да имаш предходно правило, което забранява въпросния порт и колкото и да го позволяваш в следващи правила, ефект няма да има. Покажи изхода от командата
Примерен код
iptables -L

за да видим какви ги е подредил Guarddog до момента и опиши какво, как и в каква последователност си описал в самия Guarddog '<img'>

P.S.: Можеш да добавиш правилото на Ivshti малко променено, за да игнорираш вероятността от преходни забраняващи правила, а именно
Примерен код
iptables -I INPUT 1 -p tcp --dport PORT -j ACCEPT

където трябва да заместиш PORT със съответния ти нужен. Все пак, покажи изхода от командата, която ти казах. Не съм привърженик на използването на подобни на Guarddog инструменти, защитни стени трябва да се изграждат ръчно, но щом си започнал с него, нека довършим с него.



Активен
"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

bnight

  • Напреднали
  • *****
  • Публикации: 313
  • Distribution: Ubuntu 8.10
  • Window Manager: KDE 3.5.10
    • Профил
    • WWW
За rc.firewall
« Отговор #3 -: Sep 02, 2008, 10:51 »
И обсъждайки тази тема някой да даде правила който забраняват ползването на Torenti зад firewall-a ? Ще се радвам някой да помогне с това.

Опа аз видях тема за това извинявам се за въпроса. Поздрави.



Активен
Registered Linux user: 473460
http://skyhost.bg - Хостинг и Домейни

plandz

  • Напреднали
  • *****
  • Публикации: 535
  • Distribution: Debian Testing
  • Window Manager: KDE
    • Профил
За rc.firewall
« Отговор #4 -: Sep 02, 2008, 19:23 »
Изхода от iptables -L е това:

Chain INPUT (policy DROP)
target     prot opt source               destination
Ifw        all  --  anywhere             anywhere
eth0_in    all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:INPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
eth0_fwd   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
eth0_out   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain Drop (1 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            multiport dports 135,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535
DROP       tcp  --  anywhere             anywhere            multiport dports 135,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain Ifw (1 references)
target     prot opt source               destination

Chain Reject (6 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
reject     udp  --  anywhere             anywhere            multiport dports 135,microsoft-ds
reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn
reject     udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535
reject     tcp  --  anywhere             anywhere            multiport dports 135,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain all2fw (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:all2fw:REJECT:'
reject     all  --  anywhere             anywhere

Chain all2net (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:all2net:REJECT:'
reject     all  --  anywhere             anywhere

Chain dropBcast (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/4

Chain dropInvalid (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID

Chain dropNotSyn (2 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN

Chain dynamic (2 references)
target     prot opt source               destination

Chain eth0_fwd (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW

Chain eth0_in (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW
net2fw     all  --  anywhere             anywhere

Chain eth0_out (1 references)
target     prot opt source               destination
fw2net     all  --  anywhere             anywhere

Chain fw2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:fw2all:REJECT:'
reject     all  --  anywhere             anywhere

Chain fw2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

Chain net2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
Drop       all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2fw:DROP:'
DROP       all  --  anywhere             anywhere

Chain reject (13 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     icmp --  anywhere             anywhere            reject-with icmp-host-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain shorewall (0 references)
target     prot opt source               destination

Chain smurfs (0 references)
target     prot opt source               destination
RETURN     all  --  default              anywhere
LOG        all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST
LOG        all  --  BASE-ADDRESS.MCAST.NET/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere

За последователност - малко ми е трудно да кажа,просто съм разрешил необходимите протоколи в зона "Интернет" по реда по който са наредени там(този ред не може да се променя от мен).Ако е необходимо,ще ги напиша и кои са в същия ред.


Пробвах да си оправя нещата с KMyFirewall и ето какво се получи при iptables -L :

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            limit: avg 5/sec burst 5 icmp echo-request
ACCEPT     all  --  localhost            anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5050
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 6679,6697
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:xmmps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5050
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:55558
ACCEPT     udp  --  anywhere             anywhere            udp dpt:55558
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:26434
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:990
ACCEPT     udp  --  anywhere             anywhere            multiport dports bootps,bootpc
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:647
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level warning prefix `KMF: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Сега вече порта ми е разрешен и в Азуреус-а нещата са добре.
Ако нещо не ви изглежда добре,ще се радвам да ми напишете!Благодаря ви пак предварително!



Активен
Ако се чувствате добре,не се тревожете.Ще ви мине. - Murphy's Laws

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
firewall
Хардуерни и софтуерни проблеми 		wandererbg 1 2778 Последна публикация Sep 14, 2003, 14:35
от n_antonov
firewall
Настройка на хардуер 		velomen 5 4367 Последна публикация Mar 31, 2004, 12:36
от kennedy
Настройка на firewall-а за игра от LAN в Интернет
Настройка на програми 		etvagonema 4 3434 Последна публикация Apr 04, 2004, 23:58
от hellmare
help: Firewall & more?
Настройка на програми 		st0rmblast 2 2561 Последна публикация May 05, 2004, 11:54
от n_antonov
Firewall
Настройка на програми 		Lamqta 4 3076 Последна публикация Aug 28, 2004, 10:04
от kennedy