Firewall

[!Ci]

Mam skonfigurowanego firewall za pomoca firestarter. Chodzi o to ze dre sobie cosik na aMule ale w firestarter widze ze blokowanych jest mnowstwo portow, wiec wylaczam firewalla. Co sie okazuje po pewnym czasie przy wylaczonym firewall widze dalej blokowane porty(zakladka events)... Mial ktos taki problem??

 

Jeszcze takie jedno pytanie. Pisalem juz kiedys o tym ale dalem na zlym forum, nikt tematu nie przeniosl ani nie odpowiedzial. Czy mozna udostepnic danemu programowi dowolne zasoby, tzn. przypisac do firewall'a ze dany program moze korzystac ze wszystkich zasobow(portow)... tak jak mialem mozliwosc w norton personal firewall jeszcze w windzie...

[@Sorror]

Blokowanie konkretnych portów to wieśniackie (czytaj: windowsowe) podejście do kwestii bezpieczeństwa systemu Nie widziałem nigdy firestartera, ale jeśli go wyłączyłeś a zakładka events to komponent tegoż to zapewne błąd samej zakładki... No chyba, że firestarter sam konfiguruje iptables (sprawdź) a po jego wyłączeniu odpowiednie wpisy zostają w configach.

Jeśli chodzi o drugie pytanie... Nie można. To kolejny przykład łamania podstawowych reguł protokolarnych przez $MS, poczytaj troszkę na ten temat, przekonasz się iż udostępnianie jednej aplikacji wielu portów o różnych standardach yest szkodliwe...

[jestemjez]

Firestarter ma własny skrypt startowy, musisz wywalić systemowy i dodać FS:

 

% chkconfig --level 345 iptables off

% chkconfig --level 345 firestarter on

 

autor: "e" - forum linuxweb

 

http://linuxweb.cyber.h.pl/read.php?10,746

[!Ci]

Blokowanie konkretnych portów to wieśniackie (czytaj: windowsowe) podejście do kwestii bezpieczeństwa systemu.

 

hmmm rozumie to tak. Nie blokowac zadnych portow tylko postarac sie, aby kazdy program (serwer) byl odpowiednio zabezpieczony - usuniete wszystkie znane bugi. Jezeli sie myle prosze mnie poprawic...

 

No dobra a teraz cchialbym to odniesc do tematu. Mam skonfigurowanego firewall za pomoca firestarter(to jest nakladka na iptables). Jak skonfigurowac, aby aMule pracowal w stanie aktywnym, nie mial blokowanych portow, a zarazem zebym mial udostepnione lacze na drugi komp. Za pomoca firestartera udostepnilem internet na drugi komp. Jak wylacze firewall'a wszystko fajnie chodzi, ale tam nie ma neta.

[przemk]

[ciach] Jak skonfigurowac, aby aMule pracowal w stanie aktywnym, nie mial blokowanych portow, a zarazem zebym mial udostepnione lacze na drugi komp. Za pomoca firestartera udostepnilem internet na drugi komp. Jak wylacze firewall'a wszystko fajnie chodzi, ale tam nie ma neta.

z tego co pamietam, to firestarter ma mozliwosc tworzenia reguł dodatkowych. Zakladka bodaj "Policy"->"+ Add rule", tam definiujesz ze wszystkie kompy maja miec dostep do portu osiolka. i powinno smigac

[!Ci]

Tylko ze tych portow jest mnowstwo. Udostepnilem 4660-4680 przychodzace i wychodzace ale dalej blokuje sporo innych. Najlepiej jest jak nic nie blokuje, ale tak jak pisalem udostepnioenie neta nie dziala.

Co udostepnic wszystkie porty ktore mi blokuje podczas pracy aMule???

[przemk]

Tylko ze tych portow jest mnowstwo [ciach]

TU masz wszystko na ten temat(pamietaj o tcp i udp). wiecej portow nie otwieraj, poniewaz to moga byc proby wlamu

[@Sorror]

O wiele wygodniej byłoby jak już wspominałem zablokować cały ruch przychodzący ( + stworzyć regułę odnoszącą się do wspomnianego połączenia z drugim kompem), puścić wychodzący. Wtedy e.g. amule będzie śmigać bez problemu a i bezpieczeństwo większe... Tylko, że musiałbyś najprawdopodobniej porzucić firestartera na rzecz "zwykłego" iptables...

[przemk]

[ciach] Tylko, że musiałbyś najprawdopodobniej porzucić firestartera na rzecz "zwykłego" iptables...

dobrze jest mowic na temat czegos co sie zna lub uzywa.. firestarter jest 'malpka' do robienia firewalla, ale to nie znaczy ze jest glupie. domyslna konfiguracja puszcza ruch na zewnatrz bezproblemowo, blokuje wejscie. Mozliwosci dodatkowych ustawien (jak dla mnie) sa wystarczajace..

[!Ci]

Tak dokladnie firestarter ma mozliwosc blokowania odpowiednich polaczen zarowno przychodzacych jak i wychodzacych. Nawet przeportowalem na nim kilka portow tak zeby mozna bylo hostowac na drugim kompie. Takze jezeli chodzi o mozliwosci sa dla mnie wystarczajace.

 

Tylko ciagle zastanawia mnie aMule. Juz wczesniej udalo mi sie ustawic takie porty, aby pracowal na HighID. Tylko skad sie bierze te mnostwo innych blokowanych...?? Co reszte mozna uznac jako ataki... chyba nie bardzo.... oO

[przemk]

[ciach] Tylko skad sie bierze te mnostwo innych blokowanych...?? Co reszte mozna uznac jako ataki...  chyba nie bardzo.... oO

kiedys obserwowalem na firestarterze odrzucane polaczenia.. byl taki moment, ze mialem kilka prob polaczen 'na osiolka' na sekunde.. mialem pozamykane porty do wewnatrz, a oczywiscie zaden osiolkowy prog nie byl uruchomiony. IMO wniosek jest jeden, moze ktos inny cos innego wymysli Sprobuj odpalic firestartera, bez otwierania zadnych portow i odpalania zadnego osiolka, pooobserwuj troche eventsow..

[!Ci]

Wlasnie o to chodzi ze blokuje mi mnostwo portow juz po otwarciu aMule. Wczesniej nic, ani jedengo. Ale kiedy juz otworze osiolka to po prostu mnostwo. I teraz sie zastanawiam nad tym czy na tych portach sie ktos probuje polaczyc, tak aby moc wysylac dane, czy to jakies smieci(zapytania o cosik mniej istonego)...

[@Sorror]

[ciach] Tylko, że musiałbyś najprawdopodobniej porzucić firestartera na rzecz "zwykłego" iptables...

dobrze jest mowic na temat czegos co sie zna lub uzywa.. firestarter jest 'malpka' do robienia firewalla, ale to nie znaczy ze jest glupie. domyslna konfiguracja puszcza ruch na zewnatrz bezproblemowo, blokuje wejscie. Mozliwosci dodatkowych ustawien (jak dla mnie) sa wystarczajace..

I stąd kilkanaście postów + nierozwiązany problem. Polecam lekturę definicji słowa "prawdopodobnie". Ja tylko chcę pomóc, eot...

[MrReal]

Niestety nie uzywam firestartera poniewaz configa iptables zrobilem recznie ale wydaje mi sie ze problem tkwi w "dziwnym" tworzeniu regul przez firestartera.

normalnie powinno byc tak ze dla INPUT pakety ESTABLISHED, RELATED powinny byc przepuszczane a z Twojego opisu !Ci wynika ze sa blokowane. sprawdz reguly iptables (iptables -vnL INPUT lub cos w tym stylu). Jesli sie okaze ze rzeczywiscie jest tak jak mysle to pozostaje Ci dodac recznie regule podobna do tej:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

(nie powiem teraz dokladnie poniewaz nie mam dostepu do mojego konfiga )

 

Jesli natomiast taka regula juz istnieje w Twoim iptables to imo te blokowane polaczenia sa to tylko smieci i powinny byc blokowane. Zreszta w sieci emule to jest normalne.

 

Pozdrawiam.