birno

Hozzászólások

10 bejegyzés megtekintése - 1,001-1,010 / 1,711
1 2 3 100 101 102 170 171 172
  • Szerző
    Bejegyzés
  • 2008-03-16-12:50 Hozzászólás: iptables+l7-filter #2156497
    birno
    Felhasználó

      Benéztem a dolgot, nem volt betöltve a l7 modulja. rolleyes.gif
      Mondjuk ettől függetlenül nem működik. sad.gif

      Modulok megvannak:

      Code:
      # lsmod
      Module  Size Used by
      ipt_ipp2p 7912 0 (unused)
      ipt_layer7 11984 1
      jffs2  75920 1
      zlib_inflate 19096 0 [jffs2]
      zlib_deflate 21064 0 [jffs2]
      tomato_ct 1136 0 (unused)
      wl  423640 0 (unused)
      et  28088 0 (unused)
      ip_nat_ftp 3712 0 (unused)
      ip_conntrack_ftp 4936 1
      ip_nat_rtsp 6656 0 (unused)
      ip_conntrack_rtsp 6344 1
      ip_nat_h323 2904 0 (unused)
      ip_conntrack_h323 2888 1
      ip_nat_pptp 2668 0 (unused)
      ip_conntrack_pptp 3452 1
      ip_nat_proto_gre 1888 0 (unused)
      ip_conntrack_proto_gre 2776 0 [ip_nat_pptp ip_conntrack_pptp]

      Szabályok között látszódik:

      Code:
      # iptables -vnL FORWARD|grep LAYER
      36 3292 ACCEPT 0 — * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent

      Azonban a logokban:

      Code:
      FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=72.179.190.161 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28067 DF PROTO=TCP SPT=40044 DPT=57210 WINDOW=5840 RES=0x00 SYN URGP=0
      FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=213.93.87.20 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=52187 DF PROTO=TCP SPT=51457 DPT=19880 WINDOW=5840 RES=0x00 SYN URGP=0
      FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=201.21.216.104 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=4484 DF PROTO=TCP SPT=36386 DPT=29035 WINDOW=5840 RES=0x00 SYN URGP=0
      INPUT_DROP: IN=vlan1 OUT= MAC=00:50:8d:f9:f3:e6:00:01:5c:23:94:48:08:00:45:00:00:83 SRC=201.37.53.199 DST=86.101.4.240 LEN=131 TOS=0x00 PREC=0x00 TTL=108 ID=28487 PROTO=UDP SPT=22330 DPT=1024 LEN=111
      FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4321 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0
      FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4466 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0

      Itt van maga a script:

      Code:
      ## otthoni tuzfal

      modprobe ipt_layer7
      modprobe ipt_ipp2p
      IF_INT=br0
      IF_EXT=vlan1

      ## eloszor torlunk minden szabalyt.
      iptables -F
      iptables -X
      iptables -Z
      ## alap policy
      iptables -P INPUT ACCEPT
      iptables -P OUTPUT ACCEPT
      iptables -P FORWARD ACCEPT

      ## logolas debug eseten
      #iptables -t mangle -A PREROUTING -j LOG –log-uid –log-prefix „MANGLE_PREROUTING: ”
      #iptables -t mangle -A INPUT -j LOG –log-uid –log-prefix „MANGLE_INPUT: ”
      #iptables -t mangle -A FORWARD -j LOG –log-uid –log-prefix „MANGLE_FORWARD: ”
      #iptables -t mangle -A OUTPUT -j LOG –log-uid –log-prefix „MANGLE_OUTPUT: ”
      #iptables -t mangle -A POSTROUTING -j LOG –log-uid –log-prefix „MANGLE_POSTROUTING: ”
      #iptables -t nat -A OUTPUT -j LOG –log-uid –log-prefix „NAT_OUTPUT: ”
      #iptables -t nat -A PREROUTING -j LOG –log-uid –log-prefix „NAT_PREROUTING: ”
      #iptables -t nat -A POSTROUTING -j LOG –log-uid –log-prefix „NAT_POSTROUTING: ”
      #iptables -A INPUT -j LOG –log-uid –log-prefix „INPUT: ”
      #iptables -A OUTPUT -j LOG –log-uid –log-prefix „OUTPUT: ”
      #iptables -A FORWARD -j LOG –log-uid –log-prefix „FORWARD: ”

      ## INPUT szabalyok.
      iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
      iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## engedelyezzuk befele, ami tolunk szarmazik.
      iptables -A INPUT -i $IF_INT -s 192.168.1.2 -j ACCEPT
      iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
      iptables -A INPUT -p tcp –dport ssh -m limit –limit 3/m -j LOG –log-uid –log-prefix „SSH_ACCEPT: ”
      #iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT
      iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP
      iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.2 –syn –dport ssh -j ACCEPT
      iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
      iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
      iptables -A INPUT -p tcp –dport 45761 -m state –state NEW -j ACCEPT ## router tavoli eleres
      iptables -A INPUT -i $IF_EXT -p tcp –dport 56732 -m state –state NEW -j ACCEPT ## VNC
      iptables -A INPUT -i $IF_EXT -p udp –dport 64561 -m state –state NEW -j ACCEPT ## dht peer exchange miatt
      iptables -A INPUT -p icmp -j ACCEPT ## kintrol „ping” mehet.
      iptables -A INPUT -i $IF_EXT -p udp -s 89.132.95.254 –dport 68 -j ACCEPT ## szolgaltatoi dhcp
      iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
      iptables -A INPUT -j DROP

      ## OUTPUT szabalyok.
      iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
      iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
      iptables -A OUTPUT -p tcp -d 192.168.1.2 –syn –dport ssh -m limit –limit 3/m -j ACCEPT
      iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 80 -j ACCEPT ##port tunnel miatt
      iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 443 -j ACCEPT
      iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p udp –dport 53 -j ACCEPT ##dns
      iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p udp –dport 53 -j ACCEPT
      iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p tcp –dport 53 -j ACCEPT
      iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p tcp –dport 53 -j ACCEPT
      iptables -A OUTPUT -o $IF_EXT -p tcp –dport 123 -j ACCEPT #ntp
      iptables -A OUTPUT -o $IF_EXT -p udp –dport 123 -j ACCEPT
      iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
      iptables -A OUTPUT -j DROP

      # FORWARD lanc
      iptables -A FORWARD -p icmp -j ACCEPT
      iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
      iptables -A FORWARD -i $IF_INT -p udp –dport 53 -j ACCEPT ## a DNS -re szukseg van.
      iptables -A FORWARD -i $IF_INT -p tcp –dport 53 -j ACCEPT
      iptables -A FORWARD -i $IF_INT -p udp –dport 123 -j ACCEPT ## ntp mehet
      iptables -A FORWARD -i $IF_INT -p tcp –dport 123 -m state –state NEW -j ACCEPT

      #iptables -A FORWARD -j QUEUE
      iptables -A FORWARD -i $IF_INT -p tcp –dport 80 -m state –state NEW -j ACCEPT ## http mehet.
      iptables -A FORWARD -i $IF_INT -p tcp –dport 443 -m state –state NEW -j ACCEPT ## https mehet
      iptables -A FORWARD -i $IF_INT -p tcp –dport 22 -m state –state NEW -j ACCEPT ## ssh mehet.
      iptables -A FORWARD -i $IF_INT -p tcp –dport 20:21 -m state –state NEW -j ACCEPT ## ftp mehet
      iptables -A FORWARD -i $IF_INT -p tcp -d host -m state –state NEW -j ACCEPT ## ftp
      iptables -A FORWARD -i $IF_INT -p tcp –dport 43 -m state –state NEW -j ACCEPT ## whois
      iptables -A FORWARD -i $IF_INT -p tcp -d mail.chello.hu –dport 25 -m state –state NEW -j ACCEPT ## Levelezes SMTP
      iptables -A FORWARD -i $IF_INT -p tcp –dport 993 -m state –state NEW -j ACCEPT ## Levelezes IMAP4s

      iptables -A FORWARD -i $IF_INT -p tcp –dport 1863 -m state –state NEW -j ACCEPT ## msn
      iptables -A FORWARD -i $IF_INT -p tcp –dport 6667 -m state –state NEW -j ACCEPT ## irc
      iptables -A FORWARD -i $IF_INT -p tcp –dport 2710 -m state –state NEW -j ACCEPT ## torrent tracker
      #iptables -A FORWARD -i $IF_EXT –dport 54896:54897 -m state –state NEW -j ACCEPT ## torrent
      iptables -A FORWARD -m layer7 –l7proto bittorrent -j ACCEPT
      iptables -A FORWARD -i $IF_INT -p udp –sport 64561 -m state –state NEW -j ACCEPT ##dht
      iptables -A FORWARD -j LOG –log-prefix „FORWARD_DROP: ”
      iptables -A FORWARD -j DROP

      Eléggé összecsapott, majd ha megy minden rendesen akkor rendbe teszem, de addig nincs értelme.
      Érdekesség még, hogy ha belépek routerre és futtatom a scriptet, ezt kapom:

      Code:
      # sh /tmp/script_fire.sh
      iptables: No chain/target/match by that name

      Valamelyik szabály nem tetszik neki, de nem tudom melyik, összehasonlítottam sorról sorra a scriptet és az „iptables -L” kimenetét és egyezett vagyis az INPUT, OUTPUT és FORWARD láncra vonatkozó összes szabály bekerült.
      A többi meg nincs semmi extra.
      Eleinte 2 ilyen sor volt, az egyiket ez okozta:

      Code:
      iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT

      Azért is lett most kikommentezve, bár nem tudom mi baja van vele.

      Ja és ha ipp2p-vel próbálom akkor sem megy, olyankor ez van a layer7-es sor helyén:

      Code:
      iptables -A FORWARD -m ipp2p –bit -j ACCEPT
      2008-03-16-12:50 Hozzászólás: iptables+l7-filter #2156498
      birno
      Felhasználó

        Benéztem a dolgot, nem volt betöltve a l7 modulja. rolleyes.gif
        Mondjuk ettől függetlenül nem működik. sad.gif

        Modulok megvannak:

        Code:
        # lsmod
        Module  Size Used by
        ipt_ipp2p 7912 0 (unused)
        ipt_layer7 11984 1
        jffs2  75920 1
        zlib_inflate 19096 0 [jffs2]
        zlib_deflate 21064 0 [jffs2]
        tomato_ct 1136 0 (unused)
        wl  423640 0 (unused)
        et  28088 0 (unused)
        ip_nat_ftp 3712 0 (unused)
        ip_conntrack_ftp 4936 1
        ip_nat_rtsp 6656 0 (unused)
        ip_conntrack_rtsp 6344 1
        ip_nat_h323 2904 0 (unused)
        ip_conntrack_h323 2888 1
        ip_nat_pptp 2668 0 (unused)
        ip_conntrack_pptp 3452 1
        ip_nat_proto_gre 1888 0 (unused)
        ip_conntrack_proto_gre 2776 0 [ip_nat_pptp ip_conntrack_pptp]

        Szabályok között látszódik:

        Code:
        # iptables -vnL FORWARD|grep LAYER
        36 3292 ACCEPT 0 — * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent

        Azonban a logokban:

        Code:
        FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=72.179.190.161 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28067 DF PROTO=TCP SPT=40044 DPT=57210 WINDOW=5840 RES=0x00 SYN URGP=0
        FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=213.93.87.20 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=52187 DF PROTO=TCP SPT=51457 DPT=19880 WINDOW=5840 RES=0x00 SYN URGP=0
        FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=201.21.216.104 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=4484 DF PROTO=TCP SPT=36386 DPT=29035 WINDOW=5840 RES=0x00 SYN URGP=0
        INPUT_DROP: IN=vlan1 OUT= MAC=00:50:8d:f9:f3:e6:00:01:5c:23:94:48:08:00:45:00:00:83 SRC=201.37.53.199 DST=86.101.4.240 LEN=131 TOS=0x00 PREC=0x00 TTL=108 ID=28487 PROTO=UDP SPT=22330 DPT=1024 LEN=111
        FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4321 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0
        FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4466 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0

        Itt van maga a script:

        Code:
        ## otthoni tuzfal

        modprobe ipt_layer7
        modprobe ipt_ipp2p
        IF_INT=br0
        IF_EXT=vlan1

        ## eloszor torlunk minden szabalyt.
        iptables -F
        iptables -X
        iptables -Z
        ## alap policy
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT

        ## logolas debug eseten
        #iptables -t mangle -A PREROUTING -j LOG –log-uid –log-prefix „MANGLE_PREROUTING: ”
        #iptables -t mangle -A INPUT -j LOG –log-uid –log-prefix „MANGLE_INPUT: ”
        #iptables -t mangle -A FORWARD -j LOG –log-uid –log-prefix „MANGLE_FORWARD: ”
        #iptables -t mangle -A OUTPUT -j LOG –log-uid –log-prefix „MANGLE_OUTPUT: ”
        #iptables -t mangle -A POSTROUTING -j LOG –log-uid –log-prefix „MANGLE_POSTROUTING: ”
        #iptables -t nat -A OUTPUT -j LOG –log-uid –log-prefix „NAT_OUTPUT: ”
        #iptables -t nat -A PREROUTING -j LOG –log-uid –log-prefix „NAT_PREROUTING: ”
        #iptables -t nat -A POSTROUTING -j LOG –log-uid –log-prefix „NAT_POSTROUTING: ”
        #iptables -A INPUT -j LOG –log-uid –log-prefix „INPUT: ”
        #iptables -A OUTPUT -j LOG –log-uid –log-prefix „OUTPUT: ”
        #iptables -A FORWARD -j LOG –log-uid –log-prefix „FORWARD: ”

        ## INPUT szabalyok.
        iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
        iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## engedelyezzuk befele, ami tolunk szarmazik.
        iptables -A INPUT -i $IF_INT -s 192.168.1.2 -j ACCEPT
        iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
        iptables -A INPUT -p tcp –dport ssh -m limit –limit 3/m -j LOG –log-uid –log-prefix „SSH_ACCEPT: ”
        #iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT
        iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP
        iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.2 –syn –dport ssh -j ACCEPT
        iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
        iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
        iptables -A INPUT -p tcp –dport 45761 -m state –state NEW -j ACCEPT ## router tavoli eleres
        iptables -A INPUT -i $IF_EXT -p tcp –dport 56732 -m state –state NEW -j ACCEPT ## VNC
        iptables -A INPUT -i $IF_EXT -p udp –dport 64561 -m state –state NEW -j ACCEPT ## dht peer exchange miatt
        iptables -A INPUT -p icmp -j ACCEPT ## kintrol „ping” mehet.
        iptables -A INPUT -i $IF_EXT -p udp -s 89.132.95.254 –dport 68 -j ACCEPT ## szolgaltatoi dhcp
        iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
        iptables -A INPUT -j DROP

        ## OUTPUT szabalyok.
        iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
        iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
        iptables -A OUTPUT -p tcp -d 192.168.1.2 –syn –dport ssh -m limit –limit 3/m -j ACCEPT
        iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 80 -j ACCEPT ##port tunnel miatt
        iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 443 -j ACCEPT
        iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p udp –dport 53 -j ACCEPT ##dns
        iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p udp –dport 53 -j ACCEPT
        iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p tcp –dport 53 -j ACCEPT
        iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p tcp –dport 53 -j ACCEPT
        iptables -A OUTPUT -o $IF_EXT -p tcp –dport 123 -j ACCEPT #ntp
        iptables -A OUTPUT -o $IF_EXT -p udp –dport 123 -j ACCEPT
        iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
        iptables -A OUTPUT -j DROP

        # FORWARD lanc
        iptables -A FORWARD -p icmp -j ACCEPT
        iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
        iptables -A FORWARD -i $IF_INT -p udp –dport 53 -j ACCEPT ## a DNS -re szukseg van.
        iptables -A FORWARD -i $IF_INT -p tcp –dport 53 -j ACCEPT
        iptables -A FORWARD -i $IF_INT -p udp –dport 123 -j ACCEPT ## ntp mehet
        iptables -A FORWARD -i $IF_INT -p tcp –dport 123 -m state –state NEW -j ACCEPT

        #iptables -A FORWARD -j QUEUE
        iptables -A FORWARD -i $IF_INT -p tcp –dport 80 -m state –state NEW -j ACCEPT ## http mehet.
        iptables -A FORWARD -i $IF_INT -p tcp –dport 443 -m state –state NEW -j ACCEPT ## https mehet
        iptables -A FORWARD -i $IF_INT -p tcp –dport 22 -m state –state NEW -j ACCEPT ## ssh mehet.
        iptables -A FORWARD -i $IF_INT -p tcp –dport 20:21 -m state –state NEW -j ACCEPT ## ftp mehet
        iptables -A FORWARD -i $IF_INT -p tcp -d host -m state –state NEW -j ACCEPT ## ftp
        iptables -A FORWARD -i $IF_INT -p tcp –dport 43 -m state –state NEW -j ACCEPT ## whois
        iptables -A FORWARD -i $IF_INT -p tcp -d mail.chello.hu –dport 25 -m state –state NEW -j ACCEPT ## Levelezes SMTP
        iptables -A FORWARD -i $IF_INT -p tcp –dport 993 -m state –state NEW -j ACCEPT ## Levelezes IMAP4s

        iptables -A FORWARD -i $IF_INT -p tcp –dport 1863 -m state –state NEW -j ACCEPT ## msn
        iptables -A FORWARD -i $IF_INT -p tcp –dport 6667 -m state –state NEW -j ACCEPT ## irc
        iptables -A FORWARD -i $IF_INT -p tcp –dport 2710 -m state –state NEW -j ACCEPT ## torrent tracker
        #iptables -A FORWARD -i $IF_EXT –dport 54896:54897 -m state –state NEW -j ACCEPT ## torrent
        iptables -A FORWARD -m layer7 –l7proto bittorrent -j ACCEPT
        iptables -A FORWARD -i $IF_INT -p udp –sport 64561 -m state –state NEW -j ACCEPT ##dht
        iptables -A FORWARD -j LOG –log-prefix „FORWARD_DROP: ”
        iptables -A FORWARD -j DROP

        Eléggé összecsapott, majd ha megy minden rendesen akkor rendbe teszem, de addig nincs értelme.
        Érdekesség még, hogy ha belépek routerre és futtatom a scriptet, ezt kapom:

        Code:
        # sh /tmp/script_fire.sh
        iptables: No chain/target/match by that name

        Valamelyik szabály nem tetszik neki, de nem tudom melyik, összehasonlítottam sorról sorra a scriptet és az „iptables -L” kimenetét és egyezett vagyis az INPUT, OUTPUT és FORWARD láncra vonatkozó összes szabály bekerült.
        A többi meg nincs semmi extra.
        Eleinte 2 ilyen sor volt, az egyiket ez okozta:

        Code:
        iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT

        Azért is lett most kikommentezve, bár nem tudom mi baja van vele.

        Ja és ha ipp2p-vel próbálom akkor sem megy, olyankor ez van a layer7-es sor helyén:

        Code:
        iptables -A FORWARD -m ipp2p –bit -j ACCEPT
        2008-03-08-15:51 Hozzászólás: Router betörési kísérletek #2155155
        birno
        Felhasználó

          A script-el ráfáztam rendesen, miután lefuttattam egyáltalán nem fértem hozzá a routerhez és az adatforgalom is leállt.
          Gondolom az output láncot is meg kellene határozni.

          Az autentikációs kulcsos módszer viszont tetszik, megoldja egy másik problémámat is. smiley.gif

          2008-03-08-15:51 Hozzászólás: Router betörési kísérletek #2155156
          birno
          Felhasználó

            A script-el ráfáztam rendesen, miután lefuttattam egyáltalán nem fértem hozzá a routerhez és az adatforgalom is leállt.
            Gondolom az output láncot is meg kellene határozni.

            Az autentikációs kulcsos módszer viszont tetszik, megoldja egy másik problémámat is. smiley.gif

            2008-03-08-08:07 Hozzászólás: Router betörési kísérletek #2155153
            birno
            Felhasználó
              gendelider wrote:
              birno wrote:
              Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

              Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
              1.) A kulcs hosszabb, mint a jelszavad
              2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

              Hm, azt hiszem akkor ennek is utána olvasok, köszi. 🙂
              A többi kérdésre esetleg valaki?

              2008-03-08-08:07 Hozzászólás: Router betörési kísérletek #2155154
              birno
              Felhasználó
                gendelider wrote:
                birno wrote:
                Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

                Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
                1.) A kulcs hosszabb, mint a jelszavad
                2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

                Hm, azt hiszem akkor ennek is utána olvasok, köszi. 🙂
                A többi kérdésre esetleg valaki?

                2008-03-07-20:32 Hozzászólás: Router betörési kísérletek #2155149
                birno
                Felhasználó

                  Sziasztok!

                  Megnéztem a progikat és mind python-t igényel, ami sajna nincs a routeren.
                  Gépen az ssh-n keresztüli root hozzáférést tiltottam, az authentikációs kulcsok használatának azonban még nem néztem utána.
                  Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

                  Iptables, ebben kérném a segítségeteket, próbáltam összetallózni egy kezdetleges scriptet, ami egyenlőre a célnak megfelel.
                  Átnéznétek és javítanátok ha valami nem stimmel benne?
                  Meg egy-két résszel nem voltam tisztában, ott megjegyzésként oda is írtam.

                  Code:
                  #!/bin/sh

                  iptables -F #lancok torlese
                  iptables -A security -p tcp –syn -m limit –limit 2/s –limit-burst 10 -j RETURN #syn storm
                  iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j RETURN #DoS & agressziv Port scan kivedesere
                  iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #tolunk szarmazo kapcsolatok engedelyezese
                  iptables -A INPUT -p tcp ! –syn -m state –state NEW -m limit –limit 3/min # uj kapcsolat, percenkent max. 3 ???
                  iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #syn-nel kezdodik, kulonben esetleg tamadas
                  iptables -A INPUT -p TCP -s ip/tartomany –syn –dport ssh -j ACCEPT #ssh hozzaferes engedelyezese bizonyos IP-knek
                  iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP #3 rossz probalkozas utan 60 perc tiltas
                  iptables -A INPUT -p TCP –syn –dport ssh -m recent –set -j ACCEPT #na ezt nem tudom mit csinal
                  iptables -A INPUT -p tcp -m multiport –dport 6881,6882,6883,6884,6885,6886,6887,6888,6889 -m state –state NEW,ESTABLISHED -j ACCEPT #bejovo torrent engedelyezese
                  iptables -A INPUT -p tcp –dport 5900 -m state –state NEW,ESTABLISHED -j ACCEPT #VNC engedelyezese
                  iptables -A INPUT -j DROP #minden mast eldob

                  Amennyiben itt „iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP” nem adom meg a „–seconds” kapcsolót, akkor véglegesen kitiltja az adott IP-t?
                  Ha igen, akkor utólag hogyan tudnám ezt engedélyezni?

                  Van még egy kérdésem.
                  Ha a routerbe be is jutna valaki, akkor onnan ugye még fel kellene törnie a géphez tartozó valamelyik júzer jelszavát is.
                  A Tomato firmware-ből lehetne egyáltalán ilyen támadást indítani?
                  Mert feltölteni progit nem biztos, hogy tudna, már csak a kevés hely miatt is.

                  2008-03-07-20:32 Hozzászólás: Router betörési kísérletek #2155150
                  birno
                  Felhasználó

                    Sziasztok!

                    Megnéztem a progikat és mind python-t igényel, ami sajna nincs a routeren.
                    Gépen az ssh-n keresztüli root hozzáférést tiltottam, az authentikációs kulcsok használatának azonban még nem néztem utána.
                    Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

                    Iptables, ebben kérném a segítségeteket, próbáltam összetallózni egy kezdetleges scriptet, ami egyenlőre a célnak megfelel.
                    Átnéznétek és javítanátok ha valami nem stimmel benne?
                    Meg egy-két résszel nem voltam tisztában, ott megjegyzésként oda is írtam.

                    Code:
                    #!/bin/sh

                    iptables -F #lancok torlese
                    iptables -A security -p tcp –syn -m limit –limit 2/s –limit-burst 10 -j RETURN #syn storm
                    iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j RETURN #DoS & agressziv Port scan kivedesere
                    iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #tolunk szarmazo kapcsolatok engedelyezese
                    iptables -A INPUT -p tcp ! –syn -m state –state NEW -m limit –limit 3/min # uj kapcsolat, percenkent max. 3 ???
                    iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #syn-nel kezdodik, kulonben esetleg tamadas
                    iptables -A INPUT -p TCP -s ip/tartomany –syn –dport ssh -j ACCEPT #ssh hozzaferes engedelyezese bizonyos IP-knek
                    iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP #3 rossz probalkozas utan 60 perc tiltas
                    iptables -A INPUT -p TCP –syn –dport ssh -m recent –set -j ACCEPT #na ezt nem tudom mit csinal
                    iptables -A INPUT -p tcp -m multiport –dport 6881,6882,6883,6884,6885,6886,6887,6888,6889 -m state –state NEW,ESTABLISHED -j ACCEPT #bejovo torrent engedelyezese
                    iptables -A INPUT -p tcp –dport 5900 -m state –state NEW,ESTABLISHED -j ACCEPT #VNC engedelyezese
                    iptables -A INPUT -j DROP #minden mast eldob

                    Amennyiben itt „iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP” nem adom meg a „–seconds” kapcsolót, akkor véglegesen kitiltja az adott IP-t?
                    Ha igen, akkor utólag hogyan tudnám ezt engedélyezni?

                    Van még egy kérdésem.
                    Ha a routerbe be is jutna valaki, akkor onnan ugye még fel kellene törnie a géphez tartozó valamelyik júzer jelszavát is.
                    A Tomato firmware-ből lehetne egyáltalán ilyen támadást indítani?
                    Mert feltölteni progit nem biztos, hogy tudna, már csak a kevés hely miatt is.

                    2008-03-03-18:52 Hozzászólás: DVD-RW – sorozatosan elrontott dvd-k… #2154540
                    birno
                    Felhasználó

                      Visszatérnék ehhez a problémához.
                      van egy TDk 1,4GB-os DVD-RW-m, ennél is és minden más rw-nél is azt csinálja, hogy alapból nem hajlandó formázni, se GnomeBakerrel, se K3b-vel, kényszerített módban sem, most pl. csak a „dvd+rw-format -force=full /dev/hdc” paranccsal volt hajlandó megtenni.
                      Azonban ezek után nem lehet megírni semmilyen íróval.

                      kern.log:

                      Code:
                      Mar 3 19:28:58 debian kernel: hdc: media error (bad sector): status=0x51 { DriveReady SeekComplete Error }
                      Mar 3 19:28:58 debian kernel: hdc: media error (bad sector): error=0x34 { AbortedCommand LastFailedSense=0x03 }
                      Mar 3 19:28:58 debian kernel: ide: failed opcode was: unknown
                      Mar 3 19:28:58 debian kernel: ATAPI device hdc:
                      Mar 3 19:28:58 debian kernel: Error: Medium error — (Sense key=0x03)
                      Mar 3 19:28:58 debian kernel: (reserved error code) — (asc=0x11, ascq=0x05)
                      Mar 3 19:28:58 debian kernel: The failed „Read 10” packet command was:
                      Mar 3 19:28:58 debian kernel: „28 00 00 08 f6 4a 00 00 01 00 00 00 00 00 00 00 ”
                      Mar 3 19:28:58 debian kernel: end_request: I/O error, dev hdc, sector 2349352
                      Mar 3 19:29:02 debian kernel: hdc: media error (bad sector): status=0x51 { DriveReady SeekComplete Error }
                      Mar 3 19:29:02 debian kernel: hdc: media error (bad sector): error=0x34 { AbortedCommand LastFailedSense=0x03 }
                      Mar 3 19:29:02 debian kernel: ide: failed opcode was: unknown
                      Mar 3 19:29:02 debian kernel: ATAPI device hdc:
                      Mar 3 19:29:02 debian kernel: Error: Medium error — (Sense key=0x03)
                      Mar 3 19:29:02 debian kernel: (reserved error code) — (asc=0x11, ascq=0x05)
                      Mar 3 19:29:02 debian kernel: The failed „Read 10” packet command was:
                      Mar 3 19:29:02 debian kernel: „28 00 00 08 f6 48 00 00 01 00 00 00 00 00 00 00 ”
                      Mar 3 19:29:02 debian kernel: end_request: I/O error, dev hdc, sector 2349344

                      Azonban reboot után simán írható.
                      Ha nem is tudtok tippet adni mit lehet esetleg kezdeni vele, azt megtudjátok mondani, hogy reboot nélkül hogyan lehetne írásra bírni?
                      Mondjuk valamilyen szolgáltatás újraindításával?

                      2008-03-03-18:52 Hozzászólás: DVD-RW – sorozatosan elrontott dvd-k… #2154541
                      birno
                      Felhasználó

                        Visszatérnék ehhez a problémához.
                        van egy TDk 1,4GB-os DVD-RW-m, ennél is és minden más rw-nél is azt csinálja, hogy alapból nem hajlandó formázni, se GnomeBakerrel, se K3b-vel, kényszerített módban sem, most pl. csak a „dvd+rw-format -force=full /dev/hdc” paranccsal volt hajlandó megtenni.
                        Azonban ezek után nem lehet megírni semmilyen íróval.

                        kern.log:

                        Code:
                        Mar 3 19:28:58 debian kernel: hdc: media error (bad sector): status=0x51 { DriveReady SeekComplete Error }
                        Mar 3 19:28:58 debian kernel: hdc: media error (bad sector): error=0x34 { AbortedCommand LastFailedSense=0x03 }
                        Mar 3 19:28:58 debian kernel: ide: failed opcode was: unknown
                        Mar 3 19:28:58 debian kernel: ATAPI device hdc:
                        Mar 3 19:28:58 debian kernel: Error: Medium error — (Sense key=0x03)
                        Mar 3 19:28:58 debian kernel: (reserved error code) — (asc=0x11, ascq=0x05)
                        Mar 3 19:28:58 debian kernel: The failed „Read 10” packet command was:
                        Mar 3 19:28:58 debian kernel: „28 00 00 08 f6 4a 00 00 01 00 00 00 00 00 00 00 ”
                        Mar 3 19:28:58 debian kernel: end_request: I/O error, dev hdc, sector 2349352
                        Mar 3 19:29:02 debian kernel: hdc: media error (bad sector): status=0x51 { DriveReady SeekComplete Error }
                        Mar 3 19:29:02 debian kernel: hdc: media error (bad sector): error=0x34 { AbortedCommand LastFailedSense=0x03 }
                        Mar 3 19:29:02 debian kernel: ide: failed opcode was: unknown
                        Mar 3 19:29:02 debian kernel: ATAPI device hdc:
                        Mar 3 19:29:02 debian kernel: Error: Medium error — (Sense key=0x03)
                        Mar 3 19:29:02 debian kernel: (reserved error code) — (asc=0x11, ascq=0x05)
                        Mar 3 19:29:02 debian kernel: The failed „Read 10” packet command was:
                        Mar 3 19:29:02 debian kernel: „28 00 00 08 f6 48 00 00 01 00 00 00 00 00 00 00 ”
                        Mar 3 19:29:02 debian kernel: end_request: I/O error, dev hdc, sector 2349344

                        Azonban reboot után simán írható.
                        Ha nem is tudtok tippet adni mit lehet esetleg kezdeni vele, azt megtudjátok mondani, hogy reboot nélkül hogyan lehetne írásra bírni?
                        Mondjuk valamilyen szolgáltatás újraindításával?

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 1,001-1,010 / 1,711
                      1 2 3 100 101 102 170 171 172