- This topic has 29 hozzászólás, 12 résztvevő, and was last updated 18 years, 4 months telt el by
.
-
Bejegyzés
-
Sziasztok!
A következő parancsokkal engedélyezem a különböző szolgáltatásokat a szerveremen:
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 80 -j ACCEPT
…
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 25 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 22 -j ACCEPT
Az OUTPUT lánc defaultja ACCEPT.
Minden szolgáltatás működik, kivéve az SSH. Vagyis hogy pontosítsam egy kicsit… belülről megy az SSH de kívülről nem. Ehhez kérnék egy kis segítséget, ötleteket.
A válaszokat előre is köszönöm.
Sziasztok!
A következő parancsokkal engedélyezem a különböző szolgáltatásokat a szerveremen:
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 80 -j ACCEPT
…
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 25 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP –dport 22 -j ACCEPT
Az OUTPUT lánc defaultja ACCEPT.
Minden szolgáltatás működik, kivéve az SSH. Vagyis hogy pontosítsam egy kicsit… belülről megy az SSH de kívülről nem.
A Putty kívülről a következő hibával száll el:
Network error: Software caused connection abortA WinSCP:
. 2006-10-09 13:22:06.343 Network error: Connection reset by peer
* 2006-10-09 13:22:06.359 (ESshFatal) Network error: Connection reset by peerEhhez kérnék egy kis segítséget, ötleteket.
A válaszokat előre is köszönöm.
Honnét tudjuk, hogy nálad mi az $UNIVERSE, $EXTIF?
„iptables -A INPUT -p tcp –dport 22 -j ACCEPT” aztán jó világ.Szia,
Kipróbáltam amit írtál, de nem megy.
A hiba üzenet sem változott sem a Putty, sem
a WinSCP esetében.
Valakinek van valami egyéb ötlete?Csak ez a harom szabalyod van? Nem lehet, hogy ezek utan vagy elott van valami ami keresztbe tesz? Javaslom, hogy logold az eldobott kereseket, hatha kiderul mi miatt nem megy.
Nálam az IPTABLES a konzolra írja az üzeneteit (pl. eldobott csomag az ahhoz tartozó adatokkal) és sokszor (mondjuk mc vagy links használata közben) ez nagyon zavaró.
Az lenne a kérdésem, hogy hogyan tudnám az IPTABLES üzeneteit átirányítani egy tetszőleges fájlba, hogy ne a parancssoron jelenjenek meg?Előre is köszönöm!
Ezekkel próbálkozz szerintem:
http://www.linuxguruz.com/iptables/howto/maniptables.html
TARGET EXTENSIONSSziasztok,
Csatoltam a scriptet, amivel élesztem az iptablest. Hátha segít valamit. Jah és ne tessék meglepődni: nálam az SSH 21-es porton megy, nem 22-n. Mert cégtől csak a 21-es van engedélyezve. És nekem fontos szempont lenne, hogy a
cégtől be tudjak jelentkezni a Linuxos szerverre. A linux szerver mögül (tehát 192.168.0.1) megy az SSH. Vagyis konkrétan a cégtől nem.Tulajdonképpen van még egy eshetőség. A cégnél a portokat egy Zorp tűzfal szűri. Elvileg ez képes mély protokoll elemzésre is. Na most hiába van engedélyezve a 21-es, ha van egy protocol elemzés is ami kideríti, hogy én nem FTP-vel próbálkozom a 21-esen hanem SSH-val. Remélem érthetően magyaráztam el. Mi a véleményetek erről? Lehetséges ez?
Szerintem siman elkepzelheto, hogy a Zorp nem engedi.
Konnyen kideritheto ugy, hogy minden a 21-es (esetleg 22-es) portra iranyulo kulso kerest logolsz.
Ha a keres be sem esik hozzad, akkor mar korabban a Zorp kaszalta el.
Ha beesik, de a te tuzfalad dobja el, akkor meg a logban meg kell jelennie.Mivel neked az alap INPUT policy DROP, javaslok egy sort beszurni az
„$IPTABLES -A INPUT -i $EXTIF -s $INTNET -d $UNIVERSE -j DROP” sor ele:
$IPTABLES -A INPUT -i $EXTIF -j LOG –log-prefix ” BEJOVO KAPCSOLAT”
Ennek hatasara MINDEN bejovo kapcsolatodat logolja a rendszer lehet mazsolazni..Ha kimondottan csak a 21-es portot akarod pluszban logolni, akkor pedig az
echo ” ON PORT 21 NOT 22 !!!” sor utan (a szabaly ele):
$IPTABLES -A INPUT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP –dport 21 -j LOG –log-prefix ” Bejovo 21-re”Amugy a logolast atteheted a konzolrol mondjuk fajlba:
A klogd-t inditsd ezekkel a kapcsolokkal: -x -c 3
es a /etc/syslog.conf-ban egy ilyen sort helyezz el:
*.* /var.log/syslogPersze a syslogot (es klogd-t) inditsd ujra, hogy ervenyre jusson a valtozas.
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz