Firewall

[kuntos]

powitanko

prosilbym was o odpowiedz na pare pytan i pokierowanie mnie na wlasciwe tory

chcialem ustawic firewall na komputerze ,ale mam mozliwosc zrobic to tylko zdalnie przez ssh

i teraz jak zrobic , aby po wywolaniu regulki blokujacej caly ruch (bo wyczytalem , ze od tego powinno sie zaczac , a pozniej stopniowo udostepniac to co powinno dzialac ) miec dalasza mozliwosc laczenia sie przez ssh , nastepne pytanko , czy jest mozliwosc aby laczenie przez ssh, ftp , moglo nastepowac tylko z sieci lokalnej (znaczy na karcie eth0 ?? a z zewnatrz nie ?? , i jeszcze jak zrobic , aby dostep do internetu mieli uzytkownicy ,ale tylko z wybranymi kartami (karty sprawdzane po adressie MAC ) ?? teraz troche danych fedora3 , iptables v.1.2.11

z gory dzieki

[mynus]

i teraz jak zrobic , aby po wywolaniu regulki blokujacej caly ruch (bo wyczytalem , ze od tego powinno sie zaczac , a pozniej stopniowo udostepniac to co powinno dzialac ) miec dalasza mozliwosc laczenia sie przez ssh ,

piszesz sktypt, ktory wywołuje po kolei te regułki dodatkowo drugi skrypt odblokowujący wszystko i teraz tak,

 

ustawiasz crona (albo at) aby wywołał pierwszy skrypt a potem drugi po np 3 minutach)

jeśli po wywołaniu pierwszego skryptu możesz logować się przez ssh, to można pracować dalej, jeśli nie to czekasz 3 minutki aż regułki się wykasują (drugi skrypt) logujesz się i poprawiasz błędy) (to po to abyś przypadkiem nie odciął się od komputera

 

nastepne pytanko , czy jest mozliwosc aby laczenie przez ssh, ftp , moglo nastepowac tylko z sieci lokalnej (znaczy na karcie eth0 ?? a z zewnatrz nie ??

tak, ustawiasz regułki podając, którego interfejsu dotyczą

 

i jeszcze jak zrobic , aby dostep do internetu mieli uzytkownicy ,ale tylko z wybranymi kartami (karty sprawdzane po adressie MAC ) ??

tak, i to na kilka sposobów:

-za pomocą arp przypisujesz danym IP dane adresy MAC - udostępniasz net tylko tym IP

-za pomocą iptables

 

--

generalnie, poszukaj na forum (były przykłady), albo w google np:

http://debian.one.pl/howto/iptables/iptables2-pl.html

http://debian.one.pl/howto/iptables/iptabl...bles-HOWTO.html

http://www.howto.pl/modules.php?name=Conte...=showpage&pid=8

http://www.howto.pl/modules.php?name=Conte...=showpage&pid=9

[@perl]

piszesz sktypt, ktory wywołuje po kolei te regułki dodatkowo drugi skrypt odblokowujący wszystko i teraz tak,

sprytne rozwiazanie z tymi dwoma skryptami

[mounter]

Ale po co pisac 2 skrypty??

Nie lepiej wszystko w jednym pliku??

 

#!/bin/bash

if [ "$1" = "temp" ]; then
(sleep 60; /sbin/iptables -P INPUT ACCEPT; /sbin/iptables -P OUTPUT ACCEPT; /sbin/iptables -P FORWARD ACCEPT; /sbin/iptables -F)&
fi

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

 

musisz tylko pamietac, zeby wywolywac z opcja <temp> (w sumie czasem mozna sie zapomniec w ferworze walki ale moze sie komus przyda) po 60 sekundach masz znowu wszedzie ACCEPT

[@perl]

a po to drugi skrypt ze jak pracujesz na serwerze oddalonym o 100 km od siebie to jak sobie przez przypadek zablokujesz jakas regulka dostep to bedziesz musial jechac i to naprawiac a tak ladnie wszystko z domku sobie robisz bo jak cos Ci zblokuje dostep to za 3 minuty juz go masz z powrotem

 

Edit:

 

hmmm chyba niezbyt dokladnie przeczytalem co napisales, albo tego ze sleepem nie bylo ale i tak chyba sposob z dwoma skryptami jest praktyczniejszy

[mounter]

Bylo, bylo . W sumie masz racje, opcje <temp> mozna przez nieuwage omknac . Jednak uzywam i nauczylem sie spogladac 3x na linijke, zanim klepne enter. A opcji jest sporo mozna zrobic np screen shutdown -r 60, zanim klepniesz enter, wszystko zalezy od sytuacji. Ja tak mam, bo leniwy jestem

 

pozdrawiam