- This topic has 29 hozzászólás, 12 résztvevő, and was last updated 18 years, 4 months telt el by
.
-
Bejegyzés
-
Saját magad által fordított kernel van a gépen vagy milyen linux ez? Nincs meg a maszkoláshoz szükséges modul. Kellene egy olyan kernelt fordítani amiben benne van, vagy a standard kernellel kellene próbálkozni.
Mint már írtam, ez egy 10.1-es Madnrake Linux, igaz már nem fut mert beolvadt az új verzióba a Mandriva-ba, de nekem még ez van és szeretm is ezt a rendszert, és nincs kedvem lecserélnie gy komplekt szervert ezért jelenleg, hisz mindn egyebet szolgákltat 😀
Na cóval odáig én is eljutottam, hogy amodult nem találja, mivel nem fut, de a kérdés hogy milént tudom beletenni.
MNa még problemám most is van. A squiddal való összefésülés nem igazán akar menni. Minmden más funkció megy, de maga az hogy a sqiud együtt mûködjön a NAT iptablesel em igazán éled be. Az elképzelésem ugyanis az lenne hogy a NAT szabályai szerint a kliensek automatikusan mennének ki a szerveren közvetlen internet hozzáfárássel,de viszont a Squiddal szeretnék lekorlátozni néhány szerevert, ezalatt értem a reklám szervereket. Hogy a klienseknek ne keljen megadnom a proxy címét és portját ez végett akarom összeházasítani az iptablest a squiddal. Kérdem én mi a megoldás. A jelenlegi munkám alább olvasható:
#!/bin/bash
#Tuzfal script az ‘iptables’-hez
#
#Regi beallitasok torlese
#
iptables -F#
#Azon portok amiket lattatni akarok itt adom meg
#
Engedelyezett_portok=”22 21 25 80 443″for port in $Engedelyezett_portok; do
echo „Engedelyezett portok bekapcsolasa $port…”
iptables -A INPUT -t filter -p tcp –dport $port -j ACCEPT
done#
#NAT letrehozasa
#
echo „1” > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE#
#Syn-flood elleni vedelem bakapcsolasa
#
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT#
# Port-scan elleni vedelem
#
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT#
#Ping-flood elleni vedelem
#
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT#
#Ping tiltasa/engedelyezese (DROP/ACCEPT)
#
iptables -A INPUT -i eth0 -p icmp -j ACCEPT#
# Atlatszo Squid proxy a belso halozat szamara
#
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128
Elõre is köszönöm a segítségetNagy Krisztián
Ez mind nagyon szép ,de ha nem engedélyezed az 53-as tcp és udp portokat nehezen fog menni az internet dns feloldás hiányában.
Nem kizárt dolog, de nekem úgy néz ki hogy kimegy, mivelhogy a DHCP servert-tol veszi a kliens az adatokat 😀
To: xsyber
Lehet, hogy nem értem mirõl van szó és akkor bocsi, de attól, hogy te DHCPrõl kapod az infokat attõl még lehetetlen, hogy legyen neted úgy, hogy le van tiltva az 53-as port. hiszen a dns kérések és válaszok ezen mennek és jönnek.
Más.: feljebb beillesztetted a tûzfalscripted. Azt szeretném kérdezni, hogy neked ennyibõl a tûzfalad csak és egy így jól is mûködik?
Köszi
Egyenlõre igen. Midnen nagyon és szépen muszikál, csupán azzl van bajom, hogy a rendszer felállását követõen maga a NAT nem halandó betölteni, azt mnauálisan kell elindítanom. Az igazat megvalva cron segítségével sem mentem többre mert valamiért az sem futtatta, pediog root jogot adtam neki. A kódot kibõvítettem az engedélyezett portoknál egy 53-assal, de mellesleg vna egy nagoyn jó leírás az egész iptables mûködésétrõl itt:
http://tldp.fsf.hu/HOWTO/IP-Masquerade-HOWTO-hu/firewall-examples.html
Bár arra még mindíg nem találtanm meg a megoldást, hogy a NAT miért is nem áll fel a rendszer bootoláskor.
Remélem ahamarosan erre is meglelem a választ.Tudom, kicsit OFF-olom a témát, de légyszi elmondanád nekem, hogy ez hogy mûködik?
#
#Azon portok amiket lattatni akarok itt adom meg
#
Engedelyezett_portok=”22 21 25 80 443″for port in $Engedelyezett_portok; do
echo „Engedelyezett portok bekapcsolasa $port…”
iptables -A INPUT -t filter -p tcp –dport $port -j ACCEPT
done
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz