spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

december 2018
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Tűzfal beállítása 03 (eredmény)

2007.03.06. kedd 20:06 SPétör


Leellenőriztem a beállításaimat itt. Persze van még több oldal (pl.: itt, vagy itt), ahol ellenőrizni lehet a tűzfalat, de én most ezt választottam.

Az eredmény:







































Nem rossz.


Kiegészítés az előzőekben leírt tűzfal szabályhoz.

A Gmail-es levelezés (POPS TCP Port 995, SMTPS TCP Port 465) miatt két további sort illesztettem be az OUTPUT láncba:
## gmail
$IPTABLES -A OUTPUT -p tcp --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
Így már az is működik.

Csak az összehasonlítás kedvéért másolom ide a tűzfal beállítása előtti eredményt:






































A kis piros "open" port pedig a 631 port (631 port, IPP - Internet Printing Protocol).

SP

8 komment

Címkék: biztonság tűzfal iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr7443702

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.03.10. 16:38:44

Az OUTPUT láncból a DROP láncba irányítással csak óvatosan, kellemetlenül ki tudjuk zárni a külvilágot, ha óvatlanul küldözgetjük a csomagokat a DROP lánc felé. :-)

Javasolt, legegyszerűbb megoldás:

1. iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

(ami kiment, az tudjon visszamenni)

Ez fűszerezhető az invalid sync bites csomagok kiszórásával, hogy a gonosz ember annak hamisításával ne tudjon bejönni: iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

2. INPUT láncokon ACCEPT láncra irányítások beállítása, ha szükséges.

Ha nagyon paranoidok vagyunk, letiltható még a pingelés is.

iptables -A INPUT -i ppp0 --proto icmp -j
DROP

3. FORWARD láncba irányítások megoldása, ha kell egyáltalán.

4. iptables -A INPUT -i ppp0 -j DROP

(magyarul, amit eddig nem küldtünk az ACCESS vagy a FORWARD láncokra, az mehet a levesbe)

5. iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

(magyarul, ami be tudott jönni, az ki is mehessen)

Természetesen, ha nem xDSL-en nyomul az illető, akkor a ppp0 helyett ethx kell, ahol az ethx a kábelhez/bérelt vonalhoz való csatlakozásra használt eth.

Kész.

Ha nem akarunk folyton scriptet futtatni, akkor az első futtatás után mentsük el konfba a láncok állapotát

#iptables-save > /etc/iptables.conf

(a fájl helye és neve persze opcionális)

és a megfelelő helyen (debian esetén célszerűen az adsl-start elé valahol a /etc/init.d megfelelő scriptjébe) a script futtatása helyére rakjuk azt, hogy

iptables-restore < /etc/iptables.conf

Aztán sózzuk, borsozzuk ízlés szerint, rottyantsuk meg egy kicsit, végül teszteljük.

SPétör 2007.03.10. 18:11:56

Köszönöm mavo, ez nagyon nagy segítség volt.
Úgyis ezzel bírkózóm és nem vagyok egy nagy szakértő.
Ha majd erre jársz (bár megkérdezem más fórumokon is) az ilyen plusz/utólagos soroknak a helyét a szkriptben hogyan határozzam meg. Van erre módszer, vagy végig kell gondolni a logikai láncot és úgy kell meghatározni?
SP

mavo · http://polmavo.blog.hu 2007.03.10. 18:27:33

A világ legegyszerűbb dolga ez.

Az iptables szépen sorra veszi az egyes láncokat.

Példa (mailszerver esetén érdekes beállítás, hogy tudjanak kívülről SMTP-t kezdeményezni)

iptables -A INPUT -i ppp0 -j DROP
iptables -A INPUT --proto tcp -i ppp0 --destination-port 25 -j ACCEPT

Nos, mivel a válogatás nélküli DROP-ra küldés korábban van, mint a 25-üs porton jövő csomag ACCEPT-re irányítása, ezért hatástalan, nem jön be a 25-ösön semmi.

tehát fordított sorrendben kell a két sort megadni, és akkor előbb megy az ACCEPT-re a 25-ös portra jövő csomag, mint hogy kidobná a válogatás bélküli DROP-ra küldés - egyszerűen oda már nem jut el.

Általános alapelv: mindig előbb engedélyezek és csak aztán tiltok, akkor biztosan nem fordul elő, hogy valami, amit be szeretnék engedni, korábban már a DROP láncba került, tehát az engedélyezést már nem éri meg.

mavo · http://polmavo.blog.hu 2007.03.10. 18:40:48

Ja, és másik alapelvek, bár szerintem másik posztomból kiderült már:

1. az OUTPUT láncba a lehető legkevesebb tiltást tegyük, mert láttam én már olyat, hogy bejött kintről a csomag, de a válasz nem ment ki, mert valahol letiltott egy OUTPUTRA gyártott DROP-ra irányítás (szinte biztos, hogy valami válogatás nélküli), aztán a júzer csak nézett, miért nem megy a kommunikáció.

2. Az INPUT lánc végén, ha nem DROP az alapértelmezés, akkor legyen ott egy általános DROP, különben bejön válogatás nélkül minden.

SPétör 2007.03.10. 18:58:41

"A világ legegyszerűbb dolga ez."

Majd az lesz! :-)

mavo · http://polmavo.blog.hu 2007.03.10. 23:25:29

Figyu, hidd el, annyira primitív a lgikája, hogy fejedre fogsz csapni, ha rájössz. :-)

mavo · http://polmavo.blog.hu 2007.03.10. 23:31:28

Amúgy gonolj bele. Van egy frankó láncod, ami nyílt, tehát nem kör.

Na, annak két vége van csak, amihez bármekkora kevergés után is biztos elérsz valamikor, sőt így belegondolva utólag, legfeljebb három lépés alatt egyik vég biztosan szembejön. Vagy a DROP, vagy az ACCESS.

Ha elérsz bármelyikhez, onnan kezdve bármilyen szabály következik, az rád már nem érvényes.

SPétör 2007.03.11. 00:12:46

A logikáját értem, de még teljesen át kell rágnom a szabályokon. Melyik, mit csinál. És utána tudom felfűzni a lánc szemeit. Addig van az a módszer, hogy egy meglévő szabályt próbál az ember módosítani.