Hozzászólások
-
Bejegyzés
-
lanux wrote:A -A OUTPUT -o eth0 -m state –state NEW -j ACCEPT sorral megy szépen a streamtuner is ,de ha jól sejtem ezzel a sorral értelmetlenné tettem az egész OUTPUT szûrést az eth0 oldaláról.
Tulajdonképen igen.
Az iptables úgy mûködik hogy elkezdi végignézni az adott láncon lévõ szabályokat és ha illeszkedik akkor az abban megadottak szerint cselekszik. Ha nem akkor megy a következõre. Mindaddíg amíg van még bejegyzés a láncban. Ha nincs akkor egy szinttel (al-lánc szülõje felé) feljebb lép és ott folytatja amíg teljesen el nem fogy, ekkor a policy-ban megadottak szerint cselekszik.lanux wrote:Mennyire biztonságos a kifelé irányuló forgalmat szabadjára engedni ?Ezt neked kell eldöntened. Te tudod hogy mi fut/ futhat a gépeden.
lanux wrote:Léteznek „rosszindulatú” szoftverek Linux-ra is vagy ez csak a MS kiváltsága ?Ha a géped egy kiszolgáló és elérhetõ az internet felõl akkor van esély arra hogy valaki (valamilyen hibát / hiányosságot) kihasználva kártékony kódot helyezzen el és futtasson a gépeden.
Kiszolgálók esetében fokozottan igaz az a tiltási mód hogy, semmit nem szabad kivéve amit igen.
Ha tudod hogy mire van szükség a rendeltetésszerû mûködés során akkor mindent tíltva és csak a szükséges dolgokat engedélyzve meg lehet nehezíteni / lehetetlenné lehet tenni a kártékony program mûködését / kártékony program bejuttatását a gépedre.saynos wrote:Ezenkivul mi ez a 1024-es port mindenhol?Nem én vagyok a kérdezõ de azért válaszolok.
A –source-port 1024: azt jelenti hogy 1024 tõl 65535 -ig
A kérdezõnek:
Ha ez egy router akkor fõleg a FORWARD láncot kellene buzerálni… mert ugye keresztülmennek rajta a csomagok.Másrészrõl meg a squid által kezdeményezett csomagokat ki kellene engedni és az azokra érkezõ válaszokat meg be.
Macskajancsi wrote:Ezek szerint debianban védelem nélkül lehet hagyni egy belsõ hálózatot. Ma is tanultam valamit. :wink1:Ha csak ez van a netfilter (iptables) beallitasokban az még nem jelenti azt hogy az internet felõl
el lehet érni a belsõ hálózatot! Ahhoz kellene még egy PREROUTING vagy PORTFORWARD is …Javaslom a TCP/IP alapok + Netfilter alapok olvasgatását… persze csak akkor ha szeretnél kicsit többet
tudni mint a suse tûzfal használata és szeretnéd tudni hogy mi történik a színes felület mögött.Macskajancsi wrote:Akkor lennél kedves elmondani, hogy szerinted hogyan lehet ezt a dolgot egyszerûbben megoldani? Csak mert tapasztalataim szerint egy tûzfallal pár kattintás, és hopsz, máris mûködik.
Vennéd a fáradságot, hogy kötözködés HELYETT ideírod a megoldást?Mi a baj? Bal lábbal keltél?
A /etc/network/options file-ba ip_forward=yes
echo -e „#!/bin/bashn iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE n” >/etc/network/if-up.d/router
chmod 700 /etc/network/if-up.d/routerAz eth0 helyett írd a megfelelõ hálózati eszközt. (amelyik az internet felé néz)
Majd /etc/init.d/networking restart
A belsõ hálózaton lévõ gépeken átjárónak (gateway) ezt a gépet add meg.
Macskajancsi wrote:Ha nincs tûzfal, nem tudsz rout-olni, …Azért ez így egy klicsit erõs. Ne mossuk egybe a dolgokat a Linux nem vindóz!
A tûzfal (ahogy ez a köztudatba bekerült) csomagszûrésre használatos (többek között).
Minden további nélkül megvalósítható tûzfal nélkül is egy router funkció.petty12 wrote:Hogyan lehetséges egy hálókártyára több Ip cimet megadni…Van lehetõség…. erre szolgál az ipalias.
Ugyanarra a fizikailag egy darab hálózati eszközre definiálhatsz több logikai hálózati eszközt különbözõ
hálózati paraméterekkel.
Akkor igy fog kinézni pl.Code:eth0 Link encap:10Mbps Ethernet HWaddr 00:8E:B8:83:19:20
inet addr:172.16.3.1 Bcast:172.16.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:334036 errors:0 dropped:0 overruns:0
TX packets:11605 errors:0 dropped:0 overruns:0
Interrupt:7 Base address:0x378eth0:0 Link encap:10Mbps Ethernet HWaddr 00:8E:B8:83:19:20
inet addr:172.16.3.10 Bcast:172.16.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0eth0:1 Link encap:10Mbps Ethernet HWaddr 00:8E:B8:83:19:20
inet addr:172.16.3.100 Bcast:172.16.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0petty12 wrote:… valamint a két ip re a különbözõ programokban postfix squid stb hivatkozni?Természetesen lehet. Mint azt fentebb látható minden logikai eszköznek különbözõ
neve van. Ezekket a neveket használva elérheted az eszözöket.petty12 wrote:Ha van rá mód akkor használj SATA eszközöket. Fényévekkel jobb mint az IDE és csak 1-2 ezer forinttal drágább.
Ugyanazon a gépen a szoftveres raid szinkronizálás alatt:IDE: ~10 MB/s CPU használat: 100%
SATA: ~70MB/s CPU használat: <5%
legutóbbi hsz