- This topic has 94 hozzászólás, 18 résztvevő, and was last updated 18 years telt el by
.
-
Bejegyzés
-
Hali
Nem tudom honnan kerül képbe az ipfwadm. UHU már alapértelmezetten az iptablest hasznalja. Ez ha jól emlékszem elõdje az iptables-nek és még kompatibilitási okok miatt benne lehet, de mint látom csak modulként hivatkozik rá.
Hogy néz most ki a szkripted?
Közbe eszembejutott, ekõdje ugyan de volt közben még 1 ipchains is.
Tehát: ipfwadm, ipchains, iptables igy sorbanSziasztok !
Próbálkozom iptables-t konfigolni UHU 2.0 alatt.
Annyit szeretnék elérni, hogy
1. lehessen netezni
2. „alapból mindent tilt” de az általam megadott portok (22,80,10000) nyitva legyen és elérhessem kivűlről is!Az alábbi iptables-el mi a gond? Ugyanis nem birok vele netezni!
echo -n „Tuzfal beallitasa..”
/usr/sbin/iptables -F/usr/sbin/iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
/usr/sbin/iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
/usr/sbin/iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
/usr/sbin/iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/usr/sbin/iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
/usr/sbin/iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP/usr/sbin/iptables -A INPUT -p tcp ! -syn -m state -state NEW -j DROP
/usr/sbin/iptables -A INPUT -i lo -p all -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -p all -j ACCEPT/usr/sbin/iptables -A INPUT -p tcp -s 0/0 -d 22 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -s 0/0 -d 80 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -s 0/0 -d 10000 -j ACCEPT
/usr/sbin/iptables -A INPUT -s 192.168.0.0/8 -j ACCEPT
#/usr/sbin/iptables -A INPUT -j DROP/usr/sbin/iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -d 53 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -d 53 -j ACCEPTboci wrote:Sziasztok !Próbálkozom iptables-t konfigolni UHU 2.0 alatt.
Annyit szeretnék elérni, hogy
1. lehessen netezni
2. „alapból mindent tilt” de az általam megadott portok (22,80,10000) nyitva legyen és elérhessem kivűlről is!Hali.
A Policy-t állítsd be DROP-ra, majd utánna csak az engedélyezett portokat kell felsorolni. Rövidebb és átláthatóbb.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROPEzzel kész is a zárt tűzfal. Ezután már csak nyitogatni kell a kívánt portokat.
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 10000 -j ACCEPTstb.. (ezeket OUTPUT láncon is persze csak ott nem dport, hanem sport)
Akkor most azt csináltam, hogy OUTPUT láncon engedtem olyan portokat amiket használok.
21,80.. igy már megy a net és az ftp
szoktam más szerverekre is csatizni ssh-n akkor gondolom OUTPUT-ra a 22-t is kell
meg ha jól értem akkor:
INPUT-ra amit kivülről akarok hogy elérjenek
OUTPUT-ra amit én szeretnék kifele használni?a FORWARD az kellhet nekem valamire ?
Még annyit megtudhatok, hogy azt hogyan érem el, hogy ez a script minden induláskor lefusson?
köszi!FORWARD nem kell neked azokhoz amit elmondtál.
boci wrote:Még annyit megtudhatok, hogy azt hogyan érem el, hogy ez a script minden induláskor lefusson?No ez disztribúciónként változik. Nézd meg a konfigurációs fájlok között az iptables beállításait. Nálam például gentoo-n van egy /etc/conf.d/iptables állomány, amiben ilyen sorok találhatóak:
# Location in which iptables initscript will save set rules on
# service shutdown
IPTABLES_SAVE=”/var/lib/iptables/rules-save”# Options to pass to iptables-save and iptables-restore
SAVE_RESTORE_OPTIONS=”-c”# Save state on stopping iptables
SAVE_ON_STOP=”yes”Nem tudom hogy UHU-ban ezt hogy oldották meg, de végső esetben készítessz hozzá egy init szkriptet.
boci wrote:Még annyit megtudhatok, hogy azt hogyan érem el, hogy ez a script minden induláskor lefusson?
köszi!Szia!
Lépj be az: „/etc/runlevel.d/” könyvtárba (README elolvasása!) tovább lépsz a „default” könyvtárba.
Létrehozol egy fájlt,pl: „touch firewall.service”
Ebbe aztán írd bele: „Script=/” ahol a tűzfal scripted található. (A többi .service fájlt megnézheted milyen bejegyzések vannak még benne.)
Ezután az uhu-vezérlőpultban fog megjelenni a „firewall” amit elindíthatsz, módosíthatod a futási szintjét, priorítását, sorrendjét.Oké sikerült service-ként indul mindig! köszi
Van a hálózaton egy windows xp-s gép
azon van a nyomtató amit el szeretnék elérni
az uhu nyomtató beállitásaiban kiválasztottam h Samba megosztás
ott irja Gépnév/Nyomtató formában adjam meg
megadtam a helyi ip-t / nyomtató megosztási nevét
de nem tudok nyomtatni
ping-el látom a gépet, sőt a megosztásait is tudom böngészni!
mégis lehetséges h a tuzfal nyomtatni nem enged közben meg böngészhetem a gépet stb.. ?iptables -A INPUT -d 192.168.0.0/8 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/8 -j ACCEPTezzel elvileg megengedtem a forgalmat a helyi hálómon oda-vissza nem?
boci wrote:Oké sikerült service-ként indul mindig! kösziVan a hálózaton egy windows xp-s gép
azon van a nyomtató amit el szeretnék elérni
az uhu nyomtató beállitásaiban kiválasztottam h Samba megosztás
ott irja Gépnév/Nyomtató formában adjam meg
megadtam a helyi ip-t / nyomtató megosztási nevét
de nem tudok nyomtatni
ping-el látom a gépet, sőt a megosztásait is tudom böngészni!
mégis lehetséges h a tuzfal nyomtatni nem enged közben meg böngészhetem a gépet stb.. ?iptables -A INPUT -d 192.168.0.0/8 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/8 -j ACCEPTezzel elvileg megengedtem a forgalmat a helyi hálómon oda-vissza nem?
„ott irja Gépnév/Nyomtató formában adjam meg”
Igen, de win esetében az ő idétlen könyvtár jelölésével””!
A win semmiben se tud szabványos lenni! 😮 😮\workgroupnyomtatónév
Talán segít. ;DOlyan kérdésem lenne a témával kapcsolatban, hogy hogyan lehet futtatásra bírni az iptables. A csomag fel van telepítve, de itt meg is állt a tudásom. A modulok között megtaláltam az ipv6 modult, ha jól tudom ez ugyanaz, de ezen belül van egy csomó minden. Ha valaki lenne szíves leírni, hogy mit kell csinálni, megköszönném. Ha Gnome-ban nem lehet, hát megpróbálnám terminalban is akár…De olyan lameresen légszi… 🙂
tomi78 wrote:Olyan kérdésem lenne a témával kapcsolatban, hogy hogyan lehet futtatásra bírni az iptables. A csomag fel van telepítve, de itt meg is állt a tudásom. A modulok között megtaláltam az ipv6 modult, ha jól tudom ez ugyanaz, de ezen belül van egy csomó minden. Ha valaki lenne szíves leírni, hogy mit kell csinálni, megköszönném. Ha Gnome-ban nem lehet, hát megpróbálnám terminalban is akár…De olyan lameresen légszi… 🙂Az iptables beállításához használd a guarddog vagy a firestarter nevű programot. Ezekkel egyszerűen, grafikus felületen keresztül be tudsz állítani mindent.
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz