Temat
firewall
195.94.216.* napisał:
mam pytanko co jest nie tak z tym firewallem . po odpaleniu nie moge pingowac po nazwie i 2 rzecz wpisalem w /etc/syslog.conf*.* /dev/tty6
*.* /var/log/all
zeby mi tam logi wyswietlal ale nic tam nie mam
oto firewall:
#!/bin/sh
#laduje moduly
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
#ogolne
iptables -P INPUT DROP
iptables -P OUTOUT DROP
iptables -P FROWARD DROP
#wylaczam ping
/bin/echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all
#smurf
/bin/echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#source route
/bin/echo "0" >/proc/sys/net/ipv4/conf/all/accept_source_route
#icmp redirect
/bin/echo "0" >/pro/sys/net/ipv4/conf/all/accept_redirect
#bledny ping
/bin/echo "1" >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#tablica routingu
/bin/echo "1" >/proc/sys/net/ipv4/conf/all/rp_filter
#lancuchy input
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#nawiazane icmp
iptables -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#nowe icmp
iptables -A OUTPUT -o eth0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#logowanie z blednymi flagami i usuwanie
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix "flaga ack bez sys"
iptables -A INPUT -i eth0 -p tcp ! --syn --state NEW -j DROP
#jolt fragmentowane
iptables -A INPUT -i eth0 -f -j LOG --log-level debug --log-prefix "jolt gragmentowane"
iptables -A INPUT -i eth0 -f -j DROP
#smieci z netbios
#iptables -A INPUT -i eth0 -p udp -d 192.168.2.255 --dport 137:138 -j DROP
#identd
iptables -A INPUT -i eth0 --sport 1024 --dport 113 -m state --state NEW -j REJECT --reject-with-icmp-unreachable
#pozostale przepuszcza
iptables -A INPUT -eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#logowanie przepuszczonych
iptables -A INPUT -i eth0 -j LOG --log-level debug --log-prefix "wchodzace ok"
#usuniecie nieakceptowanych
iptables -A INPUT -i eth0 -j DROP
#output
#wszystkie ok wychodza
iptables -A OUTPUT -i eth0 -m state --state ! INVALID -j ACCEPT
#logowanie ok pakietow
iptables -A OUTPUT -i eth0 -j LOG --log-level debug --log-prefix "wychodzace ok"
iptables -A OUTPUT -j DROP
#forward
#po sieci tcp
iptables -A FORWARD -i eth0 -p tcp -s 192.168.2.0/2 --sport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#po sieci udp
iptables -A FORWARD -i eth0 -p udp -s 192.168.2.0/2 --sport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#tcp
iptables -A FORWARD -i eth0 -p tcp -d 192.168.2.0/2 --dport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#udp
iptables -A FORWARD -i eth0 -p udp -d 192.168.2.0/2 --dport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#icmp po sieci bez probemu
iptables -A FROWARD -p icmp -m state --state ! INVALID -j ACCEPT
#logowanie bledow
iptables -A FORWARD -j LOG --log-level debug --log-prefix "forwardowane"
iptables -A FORWARD -j DROP
#koniec
dodam ze system to slack10
to tyle mozecie sie teraz na mnie wyzyc
195.94.216.* napisał:
hey ludziska moze ktos odpowiedziec83.31.36.* napisał:
jak normalnie pingi chodza to sprobuj uruchomic dnsa, nie wiem tez czy masz server dns czy uzywasz zewnetrznego, jak masz u siebie to powinienes tez stworzyc odpowiednia regule dla dnsa.83.31.107.* napisał:
masm dns od tpsa komp jest za maskaradą ale chcialem sprawdzic firewall. poza tym dns sa dobrze wpisane jak wywale firewall to pinguje po nazwie. no i co z tymi logami.przejrzyjcie jeszcze raz tekst moze gdzeis cos wale195.94.216.* napisał:
panie moderatorze pan pomoze : )~pleaseeeeeee
83.29.6.* napisał:
Ale zes tam namieszalCo do logow to moze killall -HUP syslogd
Pozdrowka
83.31.77.* napisał:
po tym poleceiniu wypisuje :no process killed
i jeszcze 1 po paru zmianaech w firewall ktore sam dokonalem
okazalo sie ze pokazuje(bledy bely slownikowe)(:
iptables v1.2.10. unknown arg INPUT
i
NO chain/target/match by that name
znam angielski ale to sa bledy w stylu brak docelowego pliku/wpisu
to nadal nie wyjasnia ni pingowania po nazwie
ps. killall -HUP syslogd zrobiem na samym pocztaku korzystalem z how to ze strony nie wiem czy mozna www.slackware.com.pl
83.29.36.* napisał:
Mozesz sprobowac zapakowac to ... chociaz nie wiem po co Ci taki wymyslny firewall Nie lepej prosta masquerada?#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
INTER="ppp0"
PRIVPORTS="0:1023"
UNPRIVPORTS="1024:65535"
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 4 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 12 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 3 -j ACCEPT
#iptables -A INPUT -i $INTER -p tcp -s 62.87.0.0/16 --dport 22 -j ACCEPT
iptables -A INPUT -i $INTER -p tcp --dport $PRIVPORTS -j DROP
iptables -A INPUT -i $INTER -p udp --dport $PRIVPORTS -j DROP
iptables -A INPUT -i $INTER -p tcp -m multiport --sport 53,113,25,110,995,465,80,20,21,443 -j ACCEPT
iptables -A INPUT -i $INTER -p udp --sport 53 -j ACCEPT
iptables -A INPUT -i $INTER -p tcp --sport $UNPRIVPORTS -j ACCEPT
iptables -A INPUT -i $INTER -p udp --sport $UNPRIVPORTS -j ACCEPT
# udostępnianie połączenia
iptables -t filter -A FORWARD -s 192.168.0.0/16 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 0/0 -j MASQUERADE
echo "iptables firewall up"
exit 0
83.31.112.* napisał:
oki ale twoj jest dla kompa udosteniajacego a ja mam kompa ktory jest za masqarada tzn za udsotepnianiem windowswoskim i chce sie troche pouczyc o firewallu dlatego napisalem to cos co mi niestety nie dziala.no i co z tymi bledami83.31.112.* napisał:
zauwazylem 1 blad jest on rzeczywiscie napisany na maszyne udstepnijaca:np zablokowanie broadcostow. ok no ale olewajac te poczatkowe regulki zaostawiajac tylko same inputy outupy i forwardy i tak ku...a nie przepuszcze pingow po nazwiePodobne tematy
Działy
Copyright © 2002-2024 | Prywatność | Load: 4.09 | SQL: 1 | Uptime: 753 days, 17:31 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl