Pełna Konfiguracja Firewall-a

[klemenes]

Witam

 

 

 

Co jest nie tak w konfiguracji skryptów starowych jeśli za kazdym razem po uruchomieniu systemu nie mam połaczenia z internetem Dopiero po wydaniu polecenia

/etc/init.d/iptables start

jako root mam dostep do internetu a oto zawartosc pliku

/etc/sysconfig/iptables

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

 

Wiem że nie sa to cuda bezpieczenstaw

 

Prosze o podpowiedz ktory skrypt startowy a moze cos innego moze byc skopany

Za kazdym razem skonfiguraowania firewall-a wykonuje polecenie

/etc/init.d/iptables save

 

 

 

[@WalDo]

Co jest nie tak w konfiguracji skryptów starowych jeśli za kazdym razem po uruchomieniu systemu nie mam połaczenia z internetem Dopiero po wydaniu polecenia

/etc/init.d/iptables start

Sprawdź czy w odpowiednich katalogach masz wywołanie /etc/init.d/iptables. Takie wywołanie powinno być we wszystkich katalogach związanych z poziomami uruchamiania linuksa (szczegóły 'man init').

Inaczej mówiąc sprawdź czy w /etc/rcX.d masz linki symboliczne to /etc/init.d/iptables (X cyfra od 1 do 6). W moim przypadku są to linki startowe /etc/rcY.d/S08iptables oraz /etc/rcZ.d/K92iptables, gdzie Y od 2 do 5 a Z=1 i 6.

Pozdr,

W.

[arman]

Co jest nie tak w konfiguracji skryptów starowych jeśli za kazdym razem po uruchomieniu systemu nie mam połaczenia z internetem Dopiero po wydaniu polecenia

/etc/init.d/iptables start

Sprawdź czy w odpowiednich katalogach masz wywołanie /etc/init.d/iptables. Takie wywołanie powinno być we wszystkich katalogach związanych z poziomami uruchamiania linuksa (szczegóły 'man init').

Inaczej mówiąc sprawdź czy w /etc/rcX.d masz linki symboliczne to /etc/init.d/iptables (X cyfra od 1 do 6). W moim przypadku są to linki startowe /etc/rcY.d/S08iptables oraz /etc/rcZ.d/K92iptables, gdzie Y od 2 do 5 a Z=1 i 6.

Pozdr,

W.

O ja ja myślałem, że do tego zadania jest chkconfig? ale ja lamer jestem?

 

nawet znalazłem taki wpis na fedora.pl:

Użyj chkconfig lub serviceconf aby włączyć sambę (smb) w runlevels 3 i 5.

 

[root@charon samba]# chkconfig --list smb

smb 0:off 1:off 2:off 3:off 4:off 5:off 6:off

[root@charon samba]# chkconfig --level 35 smb on

[root@charon samba]# chkconfig --list smb

smb 0:off 1:off 2:off 3:on 4:off 5:on 6:off

 

 

Do Klemensa:

 

sprawdź po starcie:

 

#> service iptables status - powinno być włączone

jeśli nie patrz wyżej,

 

jak jest włączone to napisz co daje:

 

#> iptables -L

 

pozdr,

 

ArMan

[@WalDo]

O ja ja myślałem, że do tego zadania jest chkconfig? ale ja lamer jestem?

No może i tak wygodniej. Ja mam już takie skrzywienie, że wolę sam wpisać/usunąć to co mam w /etc/rcX.d. Jakoś tak nieco pewniej się czuję

 

[klemenes]

 

 

sprawdzalem we wszystkich katalogach /etc/init/rc(0-9).d

 

 

sa to skrypty powłoki które cos sprawdają ale dokładnei nie wiem czy odnosza sie do pliku z konfiguracją iptables

 

 

[@WalDo]

sa to skrypty powłoki które cos sprawdają ale dokładnei nie wiem czy odnosza sie do pliku z konfiguracją iptables

Polecenie "ls -l" rozwiałoby wątpliwości, ale jeśli mówisz, że to skrypty powłoki, to zapewne jest to tak naprawdę jeden skrypt /etc/init.d/iptables Istotne są nazwy linków w katalogach /etc/rc[0-6].d. Jeśli pracujesz w trybie okienkowym to co najmniej w /etc/rc5.d powinienneś mieć plik (a właściwie dowiązanie do /etc/init.d/iptables) zawierający w nazwie ciąg "iptables" i zaczynający się dużą literą "S" po której następują dwie cyfry - standardowo S08iptables, ale cyfry mogą być inne.

Możesz też jak to powyżej ktoś zauważył skorzystać z programów narzędziowych (chkconfig) i sprawdzić czy firewall powinien się uruchamiać.

 

A co pokazuje polecenie "iptables-save" zanim uruchomisz firewall? (z myślnikiem nie jako opcja save do /etc/init.d/iptables)

 

Pozdr,

W.