Gość amdfanatyk Napisano Luty 20, 2006 Zgłoszenie Share Napisano Luty 20, 2006 nalezy pamietac, ze iptables musi startowac z systemem; #!/bin/sh #generated by ipt-qt-conf 1.3.2 #report bugs and wishes to amdfanatyk: amdfanatyk (at) wp (dot) pl /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A INPUT -j LOG --log-prefix 'FROM INPUT DROP ' /sbin/service iptables save o zabezpieczaniu mozesz poczytac: http://forum.fedora.pl/index.php?showtopic=9353 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Luty 21, 2006 Zgłoszenie Share Napisano Luty 21, 2006 nalezy pamietac, ze iptables musi startowac z systemem; A nawet chwilę wcześniej Przynajmniej na chwilę przed podniesieniem interfejsów sieciowych. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Luty 22, 2006 Zgłoszenie Share Napisano Luty 22, 2006 No i tak się dzieje - najpierw iptables, potem loopback (ciekawe co to) a potem eth1... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
mmaestro Napisano Kwiecień 16, 2006 Zgłoszenie Share Napisano Kwiecień 16, 2006 Ku informacji: na poczatku tego wątku wprowadzono w błąd w FC firewall (iotables) w INPUT ma politykę domyślną ACCEPT, ale ruch jest skierowany na RH-Firewall czyli jest całkiem dobrze zabezpieczony. Jesli ktoś samodzielnie zbudować firewall to trzeba najpierw wybrać politykę, czy ma być domyslnie ACCEPT czy DROP. W pierwszym przypadku wszystko jest wpuszczane, a następnie zakazujemy to co wg nas jest szkodliwe. W drugim przypadku wszystko jest zakazene (DROP). A poźniej wpuszczamy to co chcemy wpuścić. i są 3 kierunki: INPUT, OUTPUT i FORWARD Im więcej usług, im więcej reguł to większe prawdopodobieństwo dziury. Najlepszą twierdzą jest stanąć za "polityką" DROP, a jeszcze lepiej odłączonym od sieci... no ale takie rozwiązanie jest mało przydatne... hehe Jest sporo literatury i w sieci na ten temat. I własnie w nich znajdziemy dwa podejścia wspomniane wyżej. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Kwiecień 21, 2006 Zgłoszenie Share Napisano Kwiecień 21, 2006 Jestem cienki w czytaniu regułek iptables, ale pierwsze chain to INPUT a nie PH-blablabla... Więc najpierw chyba ida pakiety dopasowywane do INPUT a nie tego, jak mówi mmaestro całkiem dobrego chaina RH-Firewall Gdzie to widać, że idzie nie na INPUT tylko na RH? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Kwiecień 21, 2006 Zgłoszenie Share Napisano Kwiecień 21, 2006 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2692 3152K RH-Firewall-1-INPUT all -- any any anywhere anywhere tutaj to widac. generalnie regula iptables jest taka: paczka jest porownywana przez kazda regulke po kolei. jesli gdzies bedzie juz ta pasujaca to tam jes wykonywany -j (jump) i juz. wiec jest duza roznica czy cos dopisujemy -A i -I. jesli jakis pakiet nie pasuje do zadnej z regulek to wtedy jest brana pod uwage domyslna polityka danego lancucha. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Kwiecień 22, 2006 Zgłoszenie Share Napisano Kwiecień 22, 2006 Fak, znowu pisać regułki od nowa... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Kwiecień 22, 2006 Zgłoszenie Share Napisano Kwiecień 22, 2006 proponuje zrobic skrypt, dodac jego wywolanie do rc.local i tyle. wtedy sie szybko wszystko modyfikuje. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Kwiecień 28, 2006 Zgłoszenie Share Napisano Kwiecień 28, 2006 nalezy pamietac, ze iptables musi startowac z systemem; #!/bin/sh #generated by ipt-qt-conf 1.3.2 #report bugs and wishes to amdfanatyk: amdfanatyk (at) wp (dot) pl /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A INPUT -j LOG --log-prefix 'FROM INPUT DROP ' /sbin/service iptables save o zabezpieczaniu mozesz poczytac: http://forum.fedora.pl/index.php?showtopic=9353 To teraz jeszcze pytanko: czy cytowany skrypt amdfanatyka daje jakąś korzyść, czy ten juz słynny, domyślny RH jest w miarę korzystny i mozna przy nim zostać? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Sierpień 7, 2006 Zgłoszenie Share Napisano Sierpień 7, 2006 [/sbin/iptables -A INPUT -i lo -j ACCEPT/code] Na pewno? To mi daje regułę, wg której przepuszcza wszystko :blink: :blink: :blink: [code]2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 To niedobrze.... Z kolei jak ją zlikwideję, to nie mogę się wylogować. Przypominam, ze konfiguracja mojej sieci jest zdymana i dzieje się cos takiegoChello problem Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
smopi Napisano Wrzesień 13, 2006 Zgłoszenie Share Napisano Wrzesień 13, 2006 proponuje zrobic skrypt, dodac jego wywolanie do rc.local i tyle. wtedy sie szybko wszystko modyfikuje. Jak dla mnie poważny błąd - iptables ładuje reguły firewalla z /etc/sysconfig/iptables. Przy rozwiązaniu które proponujesz, iptables w momencie uruchomienia wstanie z regułami z /etc/sysconfig/iptables a dopiero po pewnym czasie zostanie uruchomiony Twój skrypt (i zmienione reguły iptables). Lepszym rozwiązaniem jest: napisanie skryptu, jego uruchomienie i zapisanie reguł do /etc/sysconfig/iptables: iptables-save > /etc/sysconfig/iptables Jeśli będziemy musieli coś zmienić w konfiguracji iptables to modyfikujemy skrypt, uruchamiamy i znowu zapisujemy konfigurację przy pomocy iptables-save. Pozdrawiam, Piotr Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
QRY Napisano Styczeń 10, 2007 Zgłoszenie Share Napisano Styczeń 10, 2007 A jak oceniacie generatory ? Na Wiki pod hasłem iptables jest przykładowo ten http://www.iem.pw.edu.pl/~rzeznicp/iptables/, ale pewnie w sieci jest ich więcej. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
bugaz1978 Napisano Styczeń 10, 2007 Zgłoszenie Share Napisano Styczeń 10, 2007 A propo wczesniejszych watków to Ja zainstalowalem sobie nakladke na firewalla 'firestarter' i zrobilem quickscan porŧów z strony sygate i okazalo sie ze zablokowal wiekszosc dziur jakie byly po standartowej instalacji takze polecam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Joga.Bonito Napisano Styczeń 30, 2007 Zgłoszenie Share Napisano Styczeń 30, 2007 Zadam głupie pytanie, jak się uruchamia skrypty? To są te pliki z rozszerzeniem .sh? Bo wkleiłem skrypt amdfanatyk, zapisałem do pliku i...: [root@c109-6 tomek]# iptables-script.sh -bash: iptables-script.sh: command not found [root@c109-6 tomek]# ./iptables-script.sh -bash: ./iptables-script.sh: Brak dostępu Wiem, że głupie, ale jestem nowy... wcześniej tylko windows, a wiece jak tam jest Pozdro! Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
exbros Napisano Styczeń 30, 2007 Zgłoszenie Share Napisano Styczeń 30, 2007 Nadaj mu jeszcze atrybut wykonywalnosci (chmod +x, lub pod mc albo w trybie graficznym pod wlasciwosciami), a odpala sie dokladnie tak jak probowales za drugim razem... [root@c109-6 tomek]# ./iptables-script.sh Powodzenia Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się