IPTABLES gondok!

Kezdőlap Fórumok UHU Linux Általános UHU problémák, javaslatok IPTABLES gondok!

10 bejegyzés megtekintése - 61-70 / 95
1 2 3 6 7 8 9 10
  • Szerző
    Bejegyzés
  • 2007-03-18-22:01 #2009407
    SPétör
    Felhasználó
      sany wrote:
      Úgy látom már válaszoltak. 🙂
      Az adott iface ipcímét kellene kapnod

      Code:
      ifconfig ra0 | grep inet addr | cut -f2 -d: | cut -f1 -d

      Nekem ra0 (wireless)
      Ja, rájöttem!
      Az utolsó karakter után hagyj egy üres karaktert, mielőtt entert ütsz!

      Sikerült, kellet az üres karakter! Köszönöm.
      Szóval, ha jól értem, akkor ezt a sort lehet dinamikus IP cím esetén alkalmazni (feltéve, hogy IP cím szerinti szabályt is akarok)?

      2007-03-18-22:05 #2009408
      SPétör
      Felhasználó
        milfer wrote:
        SPétör wrote:
        sany wrote:
        Írd be terminálba rootként
        ifconfig eth0 | grep inet addr | cut -f2 -d: | cut -f1 -d
        Láthatod az eredményt! 🙂

        Beírtam és ezt kapom
        >
        azután gondolkodik és semmi.

        Próbáld így.

        Code:
        ifconfig eth0 | grep „inet addr” | cut -f2 -d „:” | cut -f1 -d ” „

        Bocs’ most vettem észre. Ez is működik! Köszönöm!
        SP

        2007-03-18-22:18 #2009409
        admin
        Adminisztrátor

          „(feltéve, hogy IP cím szerinti szabályt is akarok)?”

          Igen, de ez bonyolultabb script lenne! 🙂
          Sztem használd az „-i ethx” interface-t, egyszerűbb. 😉

          2007-03-18-23:09 #2009410
          SPétör
          Felhasználó
            sany wrote:
            „(feltéve, hogy IP cím szerinti szabályt is akarok)?”

            Igen, de ez bonyolultabb script lenne! 🙂
            Sztem használd az „-i ethx” interface-t, egyszerűbb. 😉

            Jó, jó! Csak érteni szerettem volna!  🙂
            Köszönöm.
            SP

            2007-04-16-13:02 #2009411
            SPétör
            Felhasználó

              Szervusztok!

              Egy újabb kérdés:

              iptables -A OUTPUT -i eth0 -p tcp -m multiport –dport 20,21 -m state –state NEW,ESTABLISHED -j ACCEPT
              iptables -A OUTPUT -i eth0 -p udp -m multiport –dport 20,21 -m state –state NEW,ESTABLISHED -j ACCEPT

              ez így jó?
              Most csak egy csökkentett változatot másoltam be ide, de nekem soknak tűnik az -i , -p , -m stb.
              Köszönettel:

              SPétör

              2007-04-18-07:38 #2009412
              SPétör
              Felhasználó

                Szervusztok!
                Egy lépéssel tovább léptem, talán jó lesz.

                # OUTPUT szabályok

                # A loopback-en engedélyezzük a forgalmat.
                iptables -A OUTPUT -o lo -j ACCEPT

                # Egy kis magyarázat:
                #    20 port – FTP
                #    21 port – FTP
                #    22 port – SSH
                #    25 port – SMTP
                #    53 port – DNS
                #    80 port – HTTP
                #  110 port – POP
                #  443 port – HTTPS
                #  465 port – SMTPS
                #  995 port – POPS
                #  1863 port – GAIM (az MSN-hez)
                # 36013 port – SKYPE

                iptables -A OUTPUT -i eth0 -p tcp -m multiport –dports 20,21,22,25,53,80,110,443,465,995,1863,,36013 -m state –state NEW,ESTABLISHED -j ACCEPT

                iptables -A OUTPUT -i eth0 -p udp -m multiport –dports 20,21,22,25,53,443, -m state –state NEW,ESTABLISHED -j ACCEPT

                # A kifelé menő ping-re szükség lehet.
                iptables -A OUTPUT -p icmp -j ACCEPT –icmp-type echo-request
                # vagy…?
                iptables -A OUTPUT -p icmp -m state -state NEW,ESTABLISHED,RELATED -j ACCEPT

                Ez ugyebár az OUTPUT lánc egy egyedülálló gépre az én „tudásom” szerint összeállítva. A kérdés az, hogy ez így elég-e? Kell még hozzá valami?
                Az általam szükségesnek vélt portokat engedélyeztem. Van olyan ami még kell?
                A gépen semmi extra nem fut a Skype-on és a gaim-en kívül, internetezek, levelezek (gmail), esetleg ftp, az ssh pedig csak elméletileg van meghagyva.
                A kimenő pingre több helyen azt írták, hogy szükséges lehet, de ezt a két változatot találtam rá. Melyik a jó (jobb)?
                Köszönettel:
                SP

                2007-04-18-07:40 #2009413
                SPétör
                Felhasználó

                  Bocsánat , nem idézetbe, hanem „kód”-ba kellet volna beszúrni. 🙁

                  2007-04-18-13:01 #2009414
                  admin
                  Adminisztrátor

                    A policy

                    2007-04-18-13:37 #2009415
                    SPétör
                    Felhasználó
                      sany wrote:
                      A policy�  beállítása hiányzik.
                      első lépésben mindent (input, output, forward) tilts le és engedélyezd amit használsz!

                      iptables -P INPUT -j DROP

                      iptables -P OUTPUT -j DROP

                      iptables -P FORWARD -j DROP

                      Bocsánat, nem voltam egyértelmű. Most csak az OUTPUT résszel foglalkozom.
                      🙂
                      Természetesen a sha-bang,  az alap policy és az INPUT rész is létezik, de ez most itt nem volt aktuális.
                      Ha gondolod bemásolhatom az egészet, de részletekben áttekinthetőbb (nekem) és nem akartam helyet foglalni.
                      Köszönöm.
                      SP

                      2007-04-26-11:13 #2009416
                      SPétör
                      Felhasználó

                        Szóval az OUTPUT most így néz ki:

                        Code:
                        # OUTPUT szabályok
                        # A loopback-en engedélyezzük a forgalmat.
                        iptables -A OUTPUT -o lo -j ACCEPT
                        iptables -A OUTPUT -i eth0 -p tcp -m multiport –dports 20,21,22,25,53,80,110,443,465,995,1863,,36013 -m state –state NEW,ESTABLISHED -j ACCEPT
                        iptables -A OUTPUT -i eth0 -p udp -m multiport –dports 20,21,22,25,53,443, -m state –state NEW,ESTABLISHED -j ACCEPT
                        # A kifelé menő ping-re szükség lehet.
                        iptables -A OUTPUT -p icmp -m state -state NEW,ESTABLISHED,RELATED -j ACCEPT

                        Kipróbáltam, az eredmény erre:

                        Code:
                        root:~# iptables -L

                        ez (persze csak az output rész):

                        Code:
                        Chain OUTPUT (policy DROP)
                        target    prot opt source              destination
                        ACCEPT    all  —  anywhere            anywhere

                        És nem enged ki a netre.
                        Mi lehet az oka?
                        Köszönettel:
                        SP

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 61-70 / 95
                      1 2 3 6 7 8 9 10
                      • Be kell jelentkezni a hozzászóláshoz.