Kean Napisano Wrzesień 1, 2005 Zgłoszenie Share Napisano Wrzesień 1, 2005 od razu przepraszam za kolejny taki sam topic, szukalem ale nie znalazlem nic co by mi pomoglo a wiec tak: musze podzielic net, bo mam wiecej kompow w domu niz ip i teraz tak: ip z internetem: 192.168.1.84; eth0; 10Mbit ip sieci lokalnej np: 192.168.0.1; eth1; 100Mbit pierwszy problem to ze chcialem zamienic interface-y tak zeby w sieci gdzie jest duzo untrusted ludzi byla karta 100Mbit zeby jakis DoS-ik mi nie zagrozil, wiec zamienilem mac-i w /etc/sysconfig/network_scripts/eth0 i eth1 na przeciwne, niby dzialalo ale podczas uruchamiania FC4 pisala mi ze nie mozna zmienic nazwy z eth0 na eth1 bo plik istanieje, ale dzialalo... teraz routing: IPTABLES --policy INPUT DROP IPTABLES --policy OUTPUT DROP IPTABLES --policy FORWARD ACCEPT IPTABLES -A OUTPUT -j ACCEPT -o lo IPTABLES -A INPUT -j ACCEPT -i lo IPTABLES -A OUTPUT -j ACCEPT -o eth1 IPTABLES -A INPUT -j ACCEPT -i eth1 IPTABLES -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT IPTABLES -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT IPTABLES -A OUTPUT -o eth0 -p tcp -s $ME --sport 22 -m state --state ESTABLISHED -j ACCEPT za to $ME mam wstawic jakie ip? kompa ktory bedzie dozwolony do SSH? czy te reguły sa dobre i czy (_napewno_ → na pewno) ORT powinny u mnie dzialac? bo narazie osiagnalem to ze nic z tego nie dzialalo i jeszcze jedno: czy takie cos jest prawdziwe? IPTABLES -A INPUT -p icmp -p ACCEPT czy trzeba napisac regule do kazdego intrface-u osobno: IPTABLES -A INPUT -i eth0 -p icmp -p ACCEPT IPTABLES -A OUTPUT -o eth0 -p icmp -p ACCEPT IPTABLES -A INPUT -i eth1 -p icmp -p ACCEPT IPTABLES -A OUTPUT -o eth1 -p icmp -p ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ati Napisano Wrzesień 1, 2005 Zgłoszenie Share Napisano Wrzesień 1, 2005 IPTABLES -A INPUT -i $EXTDEV -p icmp --icmp-type 8 -d $EXTIP -j ACCEPT IPTABLES -A INPUT -i $INTDEV -p icmp --icmp-type 8 -d $INTIP -j ACCEPT mozesz wybrac co chcesz przepuszczać ustawiając parametr Source Quench -tlumienie zrodla --icmp-type 4 problem z parametrem --icmp-type 12 Destination Unrechable - nieosiagniety cel --icmp-type 3 Time Exceeded - Przekroczony limit czasu --icmp-type 11 Echo request - zadanie echa --icmp-type 8 Echo reply - echo na zadanie --icmp-type 0 czy takie cos jest prawdziwe? IPTABLES -A INPUT -p icmp -p ACCEPT -j ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Kean Napisano Wrzesień 1, 2005 Autor Zgłoszenie Share Napisano Wrzesień 1, 2005 widze ze icmp sie pobawie... ale najpierw musze udpstepnic lacze a za... chiny nie moge tego zrobic z tymi regulami co sa wyzej nie dziala mi tez normlanie siec np nie moge sie zalogowac z 192.168.1.84 na ftp na 192.168.1.205 w druga strone ssh nie dziala tak naprawde to dziala jedynie ping z 192.168.1.205 na ...1.84 przenalizuje moze to co mam i powiecie czy ok IPTABLES --policy INPUT DROP IPTABLES --policy OUTPUT DROP IPTABLES --policy FORWARD ACCEPT to wyglada niezle, bo po to cala zabawa IPTABLES -A OUTPUT -j ACCEPT -o lo IPTABLES -A INPUT -j ACCEPT -i lo petla zwrotna... to musi tak byc IPTABLES -A OUTPUT -j ACCEPT -o eth1 IPTABLES -A INPUT -j ACCEPT -i eth1 siec wenetrzna... tylko zaufani ludzie(ja:] ) wiec narazie mi to lotto IPTABLES -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT wyjscie na swiat, tak powinno byc bo interesuja nas i nowe i aktualne sesje a related np do ftp - tez sie przyda IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT polaczenia przychodzace ze swiata tutaj brakuje mi w sumie NEW bo jak ktos chce sie polaczyc z jakims demonem? IPTABLES -A INPUT -i eth0 -p tcp -s moj ip --sport 22 -m state --state ESTABLISHED -j ACCEPT no i tutaj established... mi nie pasi, bo osttania regula nie wpuszcza nowych polaczen wiec... cos musi je wpuscic wiec tu powinno byc NEW - tak na chlopski rozum. wiec dalem NEW ale dalej nic IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to <co tu wpisac?> a tego to juz niestety nie rozumiem Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się