- This topic has 18 hozzászólás, 10 résztvevő, and was last updated 19 years, 2 months telt el by
.
-
Bejegyzés
-
Ez itt fent nem egy link véletlenül?
ehh?Szánalmas vagy kisbetu
Abból a sokezer hozzászólásodból talán 2 értelmes a többi az hasonló értelmetlen belepofázás mit pl ez is 😀
A cset.hún vannak hasonló esetek mint te , ezért próbálkoztam a linuxfórummal.
Gondoltam , hogy itt kultúráltabb és értelmesebb emberek vannak.
De ez szánalmas. Elnézést a többi fórumozótól…Tudom, és ha tudnád, milyen nehéz ebben a tudatban élni!
Szerencsére tényleg vannak itt kulturáltabb emberek is, akik hajlandóak naponta többször disszertációkat írni, a linkek tartalmát idemásolni, hogy ne kelljen kattintani.
+1
Bocs, hogy közbeszólok ,lehet, hogy a problémád már megoldottad. Egy-két tanács (ha szükséged van rá):
amennyire én tudom, a traffic shaper konkréten egy-egy csatoló (eth,ppp stb.) TELJES sávszélesség-szûkítésére való és nem host szintûre. Legalábbis, amikor nekem erre volt szükségem, így volt. Erre én a shaperd démont használom, ami képes host szintû sávszûkítésre és néhány hónap óta mûködik. Ehhez írtam egy egyszerû bash szkriptet, amely automatikusan egyenlõ arányban ossza el a fel/letöltési sávszél.-t az éppen felkapcsolódott hostok között. Ha érdekel, ez a kis kütyü jelezd.
A másik. Ha ennyi az össz tûzfalad akkor elég lukas. Persze nem írtad, hogy a NAT-on kívül milyen más szolgáltatás fut a routeren.
A harmadik. Lehet, hogy kisbetu szánalmas (neked), de aki normális vele azzal viszont is az. Igaz közelrõl nem ismerem, de már segített egy-két dologban.
hi!
Asszem a téma pont idevág.
nekem is hasonszõrü a gondom.
van egy jóképü ipt scriptem amit szerintem nem ártana picit kijavítgani.
Debian r3.1 alatt futtatok egy squidot egy postfixet egy apacsot …stb és egy teapop ot ami szarik mûködni.#!/bin/sh
#
iptables -X
iptables -Z
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
iptables -X SHAPE
#
iptables -N SHAPE
iptables -I SHAPE -j QUEUE
#
iptables -P FORWARD -j DROP
iptables -P INPUT -j DROP
iptables -A INPUT -i lo -j ACCEPT
#
modprobe ip_tables
modprobe iptable_nat
modprobe ip_queue
#
/sbin/depmod -a
echo „1” >/proc/sys/net/ipv4/ip_forward
#
iptables -A OUTPUT -p tcp -o ppp0 –sport 80 -j QUEUE
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state –state INVALID -j DROP
iptables -A INPUT -p icmp -i ppp0 -j ACCEPT
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST, RST -m limit –limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp -o ppp0 -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
#szolgáltatások
#dns
iptables -A INPUT -p tcp –dport 67 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p udp –dport 67 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp –dport 68 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p udp –dport 68 -s 10.0.1.0/24 -j ACCEPT
#smtp
iptables -A INPUT -i eth1 -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -i eth1 -p tcp –dport 25 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –dport 25 -m state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –sport 25 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp –sport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
#pop3
iptables -A INPUT -i eth1 -s 10.0.1.0/24 –dport 110 -j ACCEPT
iptables -A OUTPUT -o eth1 -s 10.0.1.0/24 –dport 110 -j ACCEPT
#ssh
iptables -A INPUT -i eth1 -s 10.0.1.0/24 –dport 22 -j ACCEPT
#
############################## H O S T S ######################################
###########################################################################
#host0
iptables -t nat -A POSTROUTING -s 10.0.1.50/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.50/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.50/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.50/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.0.50/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.50/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host1
iptables -t nat -A POSTROUTING -s 10.0.1.51/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.51/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.51/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.51/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.51/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.51/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host2
iptables -t nat -A POSTROUTING -s 10.0.1.52/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.52/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.52/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.52/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.52/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.52/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host3
iptables -t nat -A POSTROUTING -s 10.0.1.53/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.53/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.53/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.53/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.53/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.53/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host4
iptables -t nat -A POSTROUTING -s 10.0.1.54/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.54/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.54/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.54/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.54/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.54/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host5
iptables -t nat -A POSTROUTING -s 10.0.1.55/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.55/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.55/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.55/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.55/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.55/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host6
iptables -t nat -A POSTROUTING -s 10.0.1.56/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.56/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.56/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.56/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.56/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.56/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host7
iptables -t nat -A POSTROUTING -s 10.0.1.57/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.57/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.57/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.57/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.57/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.57/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host8
iptables -t nat -A POSTROUTING -s 10.0.1.58/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.58/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.58/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.58/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.58/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.58/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#host9
iptables -t nat -A POSTROUTING -s 10.0.1.59/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.59/24 -i eth1 -o ppp0 -j SHAPE
iptables -A FORWARD -p tcp -d 10.0.1.59/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j SHAPE
iptables -A FORWARD -d 10.0.1.59/24 -o eth1 -i ppp0 -m state
–state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 8080 -s 10.0.1.59/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.1.59/24 -p tcp –dport 80 -j REDIRECT –to-port 8080
#
echo „START”
iptables -n -L | less
#Azt a macaddress es akármit hogyan kell használni? mert nekem nem mûködött.
Köszi a tippeketAhahah. Miert elore gyartott szkripteket szeretnetek hasznalni? Nem annyira bonyolult az iptables mukodese. Kotelezo olvasmany: http://www.szabilinux.hu/iptables/ ! Senkit ne tevesszen meg a kernel 2.4-es verzioszama! Sajat hozzaaalasotok/ertelmezesetek szerint kezdjetek el tuzfal szabalyokat irni, kozben ugy is rajottok, melyik szabaly nem jo arra amire szeretnetek hasznalni, es melyik a megfelelo…
saynos wrote:Ahahah. Miert elore gyartott szkripteket szeretnetek hasznalni? Nem annyira bonyolult az iptables mukodese. Kotelezo olvasmany: http://www.szabilinux.hu/iptables/ ! Senkit ne tevesszen meg a kernel 2.4-es verzioszama! Sajat hozzaaalasotok/ertelmezesetek szerint kezdjetek el tuzfal szabalyokat irni, kozben ugy is rajottok, melyik szabaly nem jo arra amire szeretnetek hasznalni, es melyik a megfelelo…Maul wrote:saynos wrote:Ahahah. Miert elore gyartott szkripteket szeretnetek hasznalni? Nem annyira bonyolult az iptables mukodese. Kotelezo olvasmany: http://www.szabilinux.hu/iptables/ ! Senkit ne tevesszen meg a kernel 2.4-es verzioszama! Sajat hozzaaalasotok/ertelmezesetek szerint kezdjetek el tuzfal szabalyokat irni, kozben ugy is rajottok, melyik szabaly nem jo arra amire szeretnetek hasznalni, es melyik a megfelelo…Sziasztok!
Lenne egy problémám.
Itthon van egy Slackware Linuxos gépem ami a többi gép közt megosztja a netet.
A problémám az, hogy kb14-e óta elég furcsa dolgok kerülnek a logjába. Olyan mintha valaki ssh-val be szeretne rá jelentkezni, de nem tudja megfejteni a kodot.
A baj az, hogy elméletleg letiltottam a külsö hálózat (internet) felöl érkezö kéréseket amik a 22-es portot céloznák. Ezt ki is próbáltam egy teljesen másik windowsos, linuxos gépröl is amivel a net felöl szerettem volna belépni és valóban nem engedte. De akkor nem értem pontosan mit keresnek ezek a dolgok a logban, illetve hogy hogyan is kaphatott login screent a próbálkozó…Bemásolok egy részletet a logból hátha segít:
Jun 18 06:25:09 server — MARK —
Jun 18 06:45:09 server — MARK —
Jun 18 06:51:28 server in.identd[8446]: reply to 195.70.32.130: 1045 , 25 : ERROR: UNKNOWN-ERROR
Jun 18 06:55:51 server in.identd[8448]: reply to 195.70.32.130: 1046 , 25 : ERROR: UNKNOWN-ERROR
Jun 18 07:25:09 server — MARK —
Jun 18 07:45:09 server — MARK —
Jun 18 08:05:09 server — MARK —
Jun 18 08:25:09 server — MARK —
Jun 18 08:31:27 server sshd[8480]: Did not receive identification string from 67.18.111.162
Jun 18 08:38:58 server sshd[8482]: Failed password for root from 67.18.111.162 port 39632 ssh2
Jun 18 08:38:59 server sshd[8482]: Received disconnect from 67.18.111.162: 11: Bye Bye
Jun 18 08:39:09 server sshd[8485]: Failed password for root from 67.18.111.162 port 42955 ssh2
(itt ez folytatódik jó sokáig, van mikor más usernevekkel is próbálkozik)
Jun 18 08:40:54 server sshd[8533]: Received disconnect from 67.18.111.162: 11: Bye Bye
Jun 18 08:40:56 server sshd[8534]: input_userauth_request: illegal user admin
Jun 18 08:40:56 server sshd[8534]: Failed password for illegal user admin from 67.18.111.162 port 47369 ssh2
Jun 18 08:40:56 server sshd[8534]: Received disconnect from 67.18.111.162: 11: Bye Bye
Jun 18 08:40:58 server sshd[8535]: Failed password for root from 67.18.111.162 port 48396 ssh2
Jun 18 08:42:59 server sshd[8629]: Failed password for illegal user system from 67.18.111.162 port 55184 ssh2
Jun 18 08:42:59 server sshd[8628]: Received disconnect from 67.18.111.162: 11: Bye Bye
Jun 18 08:42:59 server sshd[8629]: Received disconnect from 67.18.111.162: 11: Bye Byekb ennyi.
Ma azért lett vége haamrabb, mert pont akkor mikor logolta a gép lelöttem egy ssh daemont a sok közül és ezekszerint az lehetett az övé…Az iptbales szabályait beállító fájlomban ez van:
# ssh port
iptables -A INPUT -i eth1 -s ! egyik belsö gép ipje -p tcp –dport 22 –sport 22 -j REJECT
iptables -A INPUT -i ppp0 -s ! egyik belsö gép ipje -p tcp –dport 22 –sport 22 -j REJECT(az alábbit ma reggel raktam be a fájlba)
# syn-flood vedelem
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
# portscan elleni vedelem
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST, RST -m limit –limit 1/s -j ACCEPT
# halal pingje elleni vedelem
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPTSzóval tényleg nem értem hogy hogyan csinálhatta, illetve hogyan tudnám megakadályozni, mert azért mégiscsak elég idegesítö…
Elöre is köszönöm a segítséget!
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz