MyCity » Linux -> Umrežavanje i administracija Linux servera » Zasto ova firewall skripta ne radi na Debian-u

Zasto ova firewall skripta ne radi na Debian-u

Napisano na dan: 7.6.2006

Zasto ova firewall skripta ne radi na Debian-u

Sledeća strana

Pagination

Odgovori

Peca Poslao: 07 Jun 2006 15:15 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Recimo da jedan komp ima IP 3 adrese: 192.168.0.1 192.168.0.2 192.168.0.3 Ideja je da preko .1 ide samo DNS, HTTP, POP3 i SMTP, a sve ostale portove zatvaramo, i TCP i UDP i ICMP. Na .2 omogucavamo sve TCP portove, tu ide FTP, i zatvaramo Mysqld i sshd. Na .3 omogucavamo samo sshd. No, to je sada i nebitno. Stvar je u tome sto ova skripta radi na RedHat, a na Debian 3.1 blokira sve... kompletno odsece server od mreze. Evo skripte: #!/bin/sh touch /var/lock/subsys/local ##FIREWALL by dark iptables=/sbin/iptables #Ochistimo sva postojeca firewall pravila pre postavljanja nashih $iptables --flush $iptables -t nat --flush $iptables -t mangle --flush #Dozvoli za loopback $iptables -I INPUT -i lo -j ACCEPT #Default akcija je DROP ##INPUT, dolazne konekcije #Default INPUT konfiguracija na DROP $iptables -P INPUT DROP #Zabrani invalid konekcije $iptables -A INPUT -m state --state INVALID -j DROP #Dozvoli konekcije koje su povezane sa postojecom konekcijom #ili koje su u vezi sa nekom drugom aktivnom konekcijom $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Izuzetak iz zabrana za mysqld sa localhost-a $iptables -I INPUT -p TCP --dport 3306 -m state --state NEW -s localhost -j ACCEPT # --- Pravila za pristup serveru spolja --- # Dozvoli dns upite $iptables -I INPUT -p TCP --dport 53 -m state --state NEW -j ACCEPT $iptables -I INPUT -p UDP --dport 53 -m state --state NEW -j ACCEPT # Dozvoli apache $iptables -I INPUT -p TCP --dport 80 -m state --state NEW -j ACCEPT # Dozvoli smtp i pop3 $iptables -I INPUT -p TCP --dport 25 -m state --state NEW -j ACCEPT $iptables -I INPUT -p TCP --dport 110 -m state --state NEW -j ACCEPT # omoguci sve na .2 $iptables -I INPUT -p TCP -d 192.168.0.2 -m state --state NEW -j ACCEPT # pa onda port po port zatvara $iptables -I INPUT -p TCP -d 192.168.0.2 --dport 3306 -m state --state NEW -j DROP $iptables -I INPUT -p TCP -d 192.168.0.2 --dport 22 -m state --state NEW -j DROP # Na .3 je sve blokirano, dozvoljavamo samo sshd $iptables -I INPUT -p TCP -d 192.168.0.3 --dport 22 -m state --state NEW -j ACCEPT Ima li neko Debian 3.1, pa da isproba ovo na svom kompjuteru, i da vidi gde je problem? Ja nemam Debian na svom kompu, a ne ide da dedicated server resetiram svaki minut, da bi provalio sta zeza...

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

bocke Poslao: 07 Jun 2006 15:24 Idi na vrh
offline bocke Moderator foruma Glavni moderator Linux foruma Veliki Pingvin Guru Pridružio: 16 Dec 2005 Poruke: 12488 Gde živiš: Južni pol	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Koji RedHat? Koja verzija? Koji kernel je koristio taj RedHat? Proveri verziju kernela koju koristi tvoj Debian (Mislim da je u pitanju 2.4.34 ili 2.6.8 ): `uname -r` Ako je RedHat koristio 2.6 kernel, možda će raditi ako prebaciš i Debian na 2.6... Mada je verzija kernela 2.6.8 mnogo matora... Da li su učitani moduli za sve potrebene iptables filtere?

Profil

Peca Poslao: 07 Jun 2006 15:35 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! U pitanju je "Red Hat Enterprise Linux ES release 4 (Nahant Update 3)" Sad proverih kernele: RH: 2.6.9-22.EL Debian: 2.4.32 Kako da vidim koji su moduli ucitani za iptables? Ako nije do modula, sta bi trebao da modifikujem da bi firewall skripta radila na 2.4 ?

Profil

bocke Poslao: 07 Jun 2006 15:42 Idi na vrh
offline bocke Moderator foruma Glavni moderator Linux foruma Veliki Pingvin Guru Pridružio: 16 Dec 2005 Poruke: 12488 Gde živiš: Južni pol	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Lično, kompajliram svoj kernel monolitno. Module koristim samo za stvari koje retko koristim. Generalno, za proveru da li su moduli instalirani, postoji onaj klasični način: Citat:lsmod Mislim da je moguće da je ovde u pitanju konflikt u verzijama iptables (odnosno ipchains) koji dolaze uz 2.4.x i 2.6.x kernel. U tom slučaju bi morao da se informišeš u čemu je razlika. Pogledaj za početak tutorijal koji je napisao Blood u Phearless-u: http://www.phearless.org (broj 2) - članak "Hiding behind the firewall".

Profil

Peca Poslao: 07 Jun 2006 17:32 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! `# lsmod Module Size Used by Not tainted lsmod: QM_MODULES: Function not implemented` Dopuna: 07 Jun 2006 18:10 Sad sam instalirao module-init-tools iz apt-get-a, po preporuci sa http://kerneltrap.org/node/3891 , i sistem postade read-only Nastavicu veceras da cackam... Dopuna: 07 Jun 2006 18:32 Nista, digo sam ruke od Debian-a, instalirace mi sada Fedoru... Jbg, naviko sam na RH sistem... ovde sam k'o Alisa u zemlji cuda...

Profil

bl00dz3r0 Poslao: 07 Jun 2006 19:51 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Heh eto sta sam rekao pre par meseci zasto ljudi koriste fc? zato sto ne zele da nauce i pomuec se vec cim naidju na neki probl ajde kao probacemo fedoru ubuntu mislim Peco mozes ti bolje. Elem, http://phearless.org/i2/Hiding_Behind_Firewall.txt

Profil

Peca Poslao: 07 Jun 2006 21:01 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Au, Fedora 2... iz 2004.......... Pokrenem yum, update-uju se paketi, i kao kernel update-ovan, al nije kao mogao da ga konfigurise. Uradim reset - i masina mrtva.... Vratih se na Debian 3.1. Dakle, imas li ideju sto ona firewall skripta ne radi?

Profil

bocke Poslao: 09 Jun 2006 12:07 Idi na vrh
offline bocke Moderator foruma Glavni moderator Linux foruma Veliki Pingvin Guru Pridružio: 16 Dec 2005 Poruke: 12488 Gde živiš: Južni pol	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Peca ::Au, Fedora 2... iz 2004.......... Pokrenem yum, update-uju se paketi, i kao kernel update-ovan, al nije kao mogao da ga konfigurise. Uradim reset - i masina mrtva.... Da sam bio tu, rekao bih ti odmah da je to rdjav posao. Yum sux. Peca ::Vratih se na Debian 3.1. Dakle, imas li ideju sto ona firewall skripta ne radi? Trenutno se javljam sa faxa... Tesko da ce mi nesto pametno ovde pasti na pamet.

Profil

Peca Poslao: 10 Jun 2006 00:28 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! # iptables -I INPUT -p TCP --dport 80 -m state --state NEW -j DROP iptables: No chain/target/match by that name Dopuna: 09 Jun 2006 23:18 kad izbacim -m state --state NEW onda radi... sad cemo vec lako skontati do cega je... tj. zasto nema ovaj state. Dopuna: 10 Jun 2006 0:41 kaze ovako: Citat:work3:~# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables: No chain/target/match by that name In this case, we forgot to compile the state module, and as you can see the error message isn't very nice and easy to understand. But it does give you a hint at what is wrong. dakle, ovaj kernel nema state modul... Dopuna: 10 Jun 2006 1:28 Skriptica sasvim OK radi kad se izbaci 'state'. Case solved.

Profil

MyCity » Linux -> Umrežavanje i administracija Linux servera » Zasto ova firewall skripta ne radi na Debian-u

Ko je trenutno na forumu

Ukupno su 1052 korisnika na forumu :: 45 registrovanih, 6 sakrivenih i 1001 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: 357magnum, A.R.Chafee.Jr., amaterSRB, Apok, babaroga, bojankrstc, ccoogg123, Centauro, CikaKURE, comi_pfc, dankisha, djolew, dragoljub11987, FOX, Georgius, Goran 0000, gorican, HrcAk47, Karla, kobaja77, kolle.the.kid, Kubovac, kubura91, kunktator, loon123, Luka Blažević, mercedesamg, Mercury, MiG-29M2, mikrimaus, milenko crazy north, mnn2, mocnijogurt, novator, nuke92, ObelixSRB, pein, pera bager, powSrb, randja26, RJ, sasa87, slonic_tonic, stegonosa, Sumadija34

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by