spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

december 2024
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

iptables

2007.03.18. vasárnap 23:14 SPétör


Lassan kedvenc témámmá válik az iptables. Bár összetákoltam egy látszólag megfelelő tűzfal szabályt, de nem vagyok teljesen elégedett vele.
Elsősorban az zavar, hogy sok részét még nem értem, ezért elhatároztam, hogy egy újat állítok össze, sorról sorra.
Néhány kérdés kezdésnek:

1. Többféle változatot láttam az alap Policy beírásának az elhelyezésére.
(Pl.: $IPTABLES INPUT DROP)
Ezt láttam már az elején együtt:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Látttam a láncok végén külön is.
Akkor most melyik jó?
Ha az elején rögtön DROP van, akkor hogyan megy tovább. Vagy a lánc szabályait értelmezi először és ha nem felel meg egyiknek sem, akkor veszi az alap Policy-t?

2. Mi a helyzet, ha dinamikus IP címem van és mégis szeretnék IP cím alapján is szűrést csinálni. Biztos van erre is módszer.  Egyáltalán kell ilyen alapon szűrni?

3. Ha egyedülálló otthoni gépről van szó, akkor elég az alap láncban szabályokat létrehozni és nem kell saját láncot kreálni. Jól értem?

4. Modulok... honnan lehet megtudni, hogy kellenek-e? Több helyen láttam egy sort az ftp követő modulról ($MODPR ip_conntrack_ftp), meg hogy ez behúzza a többit... és ha ez szükséges, akkor az elejére kell-e a modprobe helyének meghatározása? (MODPROBE=/sbin/modprobe)

5. És persze rengeteg példa van tele olyan sorokkal, aminek céljáról még lövésem sincs.

Hát ilyen és még hasonló kérdéseim van (elsősorban magamhoz). Ezeket és a menet közben felmerült továbbiakat próbálom megválaszolni  következő iptables bejegyzéseimben.

SP

5 komment

Címkék: szövegelés iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr4048120

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.03.19. 20:49:51

Kezdjük a legelején. :-)

1. Vegyük ezt itt.

$IPTABLES -P INPUT DROP

Ha beírod, hogy iptables --help (vagy man iptables) olvashatod, hogy a -P az úgynevezett chain targatet definiálja. Ez azt jelenti, hogy alapértelmezésben ami az INPUT lácnra kerül, az a DROP láncban végzi.

De valahol definiálsz olyan láncszabályt, ami az adott csomagokat másik láncra irányítja, akkor arra kerül, mert ez csak default szabály, minden más szabály felülírja.

Az $IPTABLES -P INPUT DROP körülbeblül ugyanazt jelenti, mintha a script végére betennél egy

iptables -A INPUT -j DROP

szabályt, azzal a különbséggel, hogy a -P az elején és a végén is egállja a helyét, míg a -A csak a végén, különben mindent a DROP láncba irányít.

2. Mi a helyzet, ha dinamikus IP címem van és mégis szeretnék IP cím alapján is szűrést csinálni. Biztos van erre is módszer. Egyáltalán kell ilyen alapon szűrni?

Pedig egyszerű: senkit sem érdekel, fix-e az IP-d. Ha az, akkor az, ha nem az, akkor meg nem, senkit sem érdekel, amíg nem próbálod meg szerverként használni a gépedet — vagy egy másik gépet a LAN-on. Addig csak az a lényeg, mit akarsz szűrni. Adott IP-kre illetve IP tartományokra engedélyezhetsz dolgokat, a többi csomagot a chain target vagy a DROP úgyis devnullázza, ha jól csinálod. Mindamellett, ha nem LAN tűzfalról van szó, az IP alapú szűrés nem túl gyakori mutatvány, azt is mondhatom, felesleges: az IP cím nem ritkán nem örök életű, és nem csak a te géped esetében. Amint van védendő LAN, egyből jöhet a kérdés, mit is engedjek be és honnan.

3. Ha egyedülálló otthoni gépről van szó, akkor elég az alap láncban szabályokat létrehozni és nem kell saját láncot kreálni. Jól értem?

Mint korábban írtam, standalone gép esetében elegendő, egy

iptables -A INPUT -i ethX -m state --state ESTABLISHED,RELATED -j ACCEPT

Ez amit kiküldesz, visszaengedi. Ezen túl, például ICQ esetén a szükséges portokat meg kell nyitni, hogy kívülről is lehessen kezdeményezni

iptables -A INPUT --proto tcp -i ethX --destination-port 5190 -j ACCEPT
iptables -A INPUT --proto tcp -i ethX --destination-port 5191 -j ACCEPT
iptables -A INPUT --proto tcp -i ethX --destination-port 5192 -j ACCEPT
iptables -A INPUT --proto tcp -i ethX --destination-port 5193 -j ACCEPT

(van rövidebb megoldás, de ez így talán jobban látható (-:)

De ezen túl semmi varázslás nem kell. Hangsúlyozom, amíg nem szerverként akarod használni a tűzfalas gépedet — vagy egy másikat a LAN-on.

4. Modulok... honnan lehet megtudni, hogy kellenek-e?

Ismétlem magamat: a kernel netfiltert, mivel állandóan használni fogod, sokkal célszerűbb a kernelbe fordítani és nem modulnak, innen kezdve pedig ez a kérdés nem kérdés többé: ha a netfilter nem modulban van, nem kell modolni. Egyedül annyi kell, hogy ha mégis routernek használod a tűzfalat, akkor kell egy legyen a script legelején

echo 1 > /proc/sys/net/ipv4/ip_forward, hogy a netfilter is „tudjon” arról, hogy routolásra akarod használni.

5. És persze rengeteg példa van tele olyan sorokkal, aminek céljáról még lövésem sincs.

Leírod, és ha tudom, elmagyarázom. :-)

mavo · http://polmavo.blog.hu 2007.03.19. 21:17:54

Kimaradt: a tűzfal értelmes fejlesztése úgy megy, hogy beállítod a lehető legszigorúbbra (pl. DROP, mint chain target), aztán ha valami igényli a kijárást, annak engedélyt adsz, ha kell, de _csak_ annak.

SPétör 2007.03.19. 22:28:16

Köszönöm a segítséget. Leállok minden más "tévelygésemmel" és az iptables témát szeretném jól feldolgozni. A legfontosabb, hogy értsem azt, amit összeállítok Mi, miért van?
Ha van időd és kedved és néha ránézel, akkor előre is köszönöm a segítséged. :-)
Én meg szépen lassan, öregesen egy-egy kérdést elővéve szeretnék végig menni az egészen. Persze hozzáolvasok majd egy csomót. És megpróbálok a saját kútfejem szerint összehozni valamit.
Első visszakérdezésem: ha jól értem, a default szabályok (DROP) az elején jó helyen vannak, mert csak akkor érvenyesülnek, ha az általam összeállított szabályok egyikére sem érvényes a bejövő/kimenő csomag? Tehát ebben az esetben a szabályom által meghatározott kerül végrehajtásra.
2. Standalone gép esetében szerintem FORWARD lánc nem kell. Jól értem?
3. IP cím - értem! :-)
Most hirtelen ennyi.
SP

mavo · http://polmavo.blog.hu 2007.03.20. 12:28:24

Első visszakérdezésem: ha jól értem, a default szabályok (DROP) az elején jó helyen vannak, mert csak akkor érvenyesülnek, ha az általam összeállított szabályok egyikére sem érvényes a bejövő/kimenő csomag?

Pontosan. Még pontosabban a chain target akárhol lehet, mindenütt jó (de legjobb a Fradi).

2. Standalone gép esetében szerintem FORWARD lánc nem kell. Jól értem?

Tökéletesen. A FORWARD lánc _általában _ egyik IP-ről a másikra irányít (pl. bejövő kéréseket továbbít a DMZ-ben levő szervernek). Persze irányíthat egyik portról a másikra (lásd proxy), de annak sincs túl sok teteje standalone gép esetében.

Ha meg LAN előtt áll, ezzel DMZ-t kialakítva a LAN gépeinek, akkor szinte biztos, hogy lesz FORWARD.

SPétör 2007.03.20. 15:55:12

Alakul... kezdem érteni az alapokat. Gondolom azért teszik az elejére a default szabályokat, hogy áttekinthető legyen. Akkor most tovább lépek (nemsokára).
süti beállítások módosítása