MyCity » Linux -> Umrežavanje i administracija Linux servera » iptables opet...

iptables opet...

Napisano na dan: 10.6.2006

Strana:
1
2

iptables opet...

Sledeća strana

Pagination

Odgovori

Strana:
1
2

Peca Poslao: 10 Jun 2006 03:40 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! `#Ochistimo sva postojeca firewall pravila pre postavljanja nashih $iptables --flush $iptables -t mangle --flush #Dozvoli loopback $iptables -I INPUT -i lo -j ACCEPT #Default INPUT konfiguracija je DROP $iptables -P INPUT DROP #posle otvaramo port po port...` Ovo zatvara masinu, gledano spolja... Problem je, sto je zatvara i iznutra Ne mogu ni da pingujem ni jedan drugi server, ni da skinem neki fajl sa drugog servera, ni da resolve-ujem neki host, ni da se telnetujem bilo gde... Kako da omogucim da masina moze da pravi konekcije ka netu? `$iptables -A INPUT -s $IpServera -j ACCEPT` ovo ne daje rezultate

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

bl00dz3r0 Poslao: 10 Jun 2006 12:50 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! ako hoces da zabranis pristup nekim servisima spolja uradi to na sledeci nacin: `# iptables -A INPUT -p tcp -i lo --dport ftp -j ACCEPT # iptables -A INPUT -p tcp --dport ftp -j REJECT` iznutra ce raditi npr. ili ako spolj zelis samo ssh `# iptables -F INPUT # iptables -A INPUT -p tcp --dport ssh -j ACCEPT # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -j REJECT` ponovicu http://phearless.org/i2/Hiding_Behind_Firewall.txt

Profil

Peca Poslao: 10 Jun 2006 14:02 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! eh, ali ja hocu da DROP-ujem sve, pa onda da otvaram port po port, a da konekcije sa masine ka netu rade normalno. p.s. imati na umu da nemam state modul.

Profil

bl00dz3r0 Poslao: 10 Jun 2006 14:13 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! prvo stavi sta dozvoljavas pa onda `/sbin/iptables -A INPUT -j DROP` Dopuna: 10 Jun 2006 15:13 dacu ti bole jednu super stvarcicu http://easyfwgen.morizot.net/gen/

Profil

Peca Poslao: 10 Jun 2006 16:30 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Resio sam problem ovako: ## --- resetira sve --- # $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT # # reset the default policies in the mangle table. # $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT # # flush all the rules in the filter and nat tables. # $IPTABLES -F $IPTABLES -t mangle -F # # erase all chains that's not default in filter and nat table. # $IPTABLES -X $IPTABLES -t mangle -X # --- zavrseno resetiranje --- #INPUT konekcije su DROP $iptables -I INPUT -p tcp -d 192.168.5.1 --syn -j DROP $iptables -I INPUT -p tcp -d 192.168.5.2 --syn -j DROP $iptables -I INPUT -p tcp -d 192.168.5.3 --syn -j DROP $iptables -I INPUT -p tcp -d 192.168.5.4 --syn -j DROP $iptables -I INPUT -p udp -j DROP $iptables -I INPUT -p UDP --sport 53 -j ACCEPT #za resolving $iptables -I INPUT -p icmp -j DROP # i posle otvaramo port po port Imas neki predlog, komentar, savet?

Profil

Not now, John! Poslao: 10 Jun 2006 21:41 Idi na vrh
offline Not now, John! Zaslužni građanin Pridružio: 23 Mar 2004 Poruke: 523	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Mislim da je ovo što tražiš (normalan surf, ali nevidljiv spolja za skeniranje i sl.) # allow local-only connections iptables -A INPUT -i lo -j ACCEPT # free output on any interface to any ip for any service (equal to -P ACCEPT) iptables -A OUTPUT -j ACCEPT # permit answers on already established connections # and permit new connections related to established ones (eg active-ftp) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # set a sane policy: everything not accepted > /dev/null iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

Profil

Peca Poslao: 11 Jun 2006 05:37 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Nema ovaj Debian 'state' modul, inace bi ja pevao pesmu... tako da ta skripta pada u vodu.

Profil

bl00dz3r0 Poslao: 11 Jun 2006 06:57 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Recompile iptables sa tebi potrebnim modulima.

Profil

Not now, John! Poslao: 11 Jun 2006 10:00 Idi na vrh
offline Not now, John! Zaslužni građanin Pridružio: 23 Mar 2004 Poruke: 523	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Peca ::Nema ovaj Debian 'state' modul, inace bi ja pevao pesmu... tako da ta skripta pada u vodu. Jesi li siguran? To ne bi trebalo da je tako, ako nije neka "custom" verzija Debiana. probaj `modprobe ipt_state` Ianče, ako su iptables moduli kompajlirani kao moduli (nisu ugrađeni u kernel) onda na početku gornje skripte treba staviti: `modprobe ip_tables modprobe iptable_filter modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state`

Profil

Peca Poslao: 11 Jun 2006 13:27 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! `# modprobe ipt_state modprobe: Can't open dependencies file /lib/modules/2.4.32/modules.dep (No such file or directory)` ma kernel mi je monolitan, nema uopste modula, taj folder ne postoji. uostalom: `# lsmod Module Size Used by Not tainted lsmod: QM_MODULES: Function not implemented` mislite da moze da se iptables rekompajlira, a da se kernel ne dira, tj. da ostane ovaj monolitan?

Profil

MyCity » Linux -> Umrežavanje i administracija Linux servera » iptables opet...

Ko je trenutno na forumu

Ukupno su 897 korisnika na forumu :: 55 registrovanih, 9 sakrivenih i 833 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: A.R.Chafee.Jr., Alexandar-1973, amaterSRB, BSD, cavatina, DejanSt, DPera, dragoljub11987, Duh sa sekirom, FOX, Georgius, goxin, Hans Gajger, HrcAk47, jackreacher011011, Karla, Krvava Devetka, Kubovac, kybonacci, ladro, laurusri, Leonov, Litostroton, lord sir giga, Mad Serb, maiden6657, mercedesamg, milenko crazy north, Milos82, milutin134, MiroslavD, Mixelotti, Ne doznajem se u oružje, nick79, oganj123, opt1, pein, radoznao, raf87, rajkoplje, sasa87, Sirius, slonic_tonic, Srle993, vathra, VJ, VladaKG1980, vobo, wolf431, x9, ZetaMan, zixmix, zlly, |_MeD_|, žeks62

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by