spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

november 2018
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Saját tűzfal lépésről lépésre 01

2007.03.20. kedd 20:10 SPétör


Első lépésként meg kell határozni, hogy milyen gépre akarjuk a tűzfal szkriptet készíteni, hiszen ez döntően befolyásolja az általunk megtervezendő szabályok "logikai" felépítését, tartalmát. Én egy egyedülálló (standalone) géppel kezdem. Elképzelhető, hogy a későbbiekben, egy kis fejlesztés után két gép lesz itthon egy wireless/vagy vezetékes routerrel megosztva az internetet. Bár ez, ahogy most átgondolom a gépek saját tűzfala szempontjából nem fontos tényező.

Akkor vágjunk bele!



Ahhoz, hogy a szkriptünk egyáltalán működjön rögtön az elején ez a sor kell:
#!/bin/bashA "sha-bang" a szkript elején közli a rendszerrel, hogy ez egy parancsokat tartalmazó file amelyeket a megadott "parancs értelmező" fog futtatni. A #! valójában egy speciális jelölés ami meghatározza a file típusát, vagy ebben az esetben azt, hogy végrehajtható shell script-ről van szó.
Gyakorlatilag a #! az első dolog, amit a parancs értelmező látni fog. Mivel ez a sor #-el kezdődik, a parancsértelmező kommentnek fogja tekinteni a szkript végrehajtása során, de ekkorra már megtette a dolgát: meghívta a parancs értelmezőt.
A "sha-bang"-ot követi az úgynevezett "path name" amely meghatározza a parancs értelmező program helyét, amely végre fogja hajtani a szkriptben lévő parancssorokat az elejétől kezdve. Ha nem tudjuk a bash program helyét, akkor megkereshetjük ezzel a paranccsal:
speter:~$ which bash
/bin/bash
A szkriptben lehetőségünk van kommentek elhelyezésére, amelyek segítik a különböző utasítások megértését, vagy esetleg egy később alkalmazni tervezett sort lehet ideiglenesen inaktívvá tenni, így a szkript felhasználójának döntésére bízva az adott parancs alkalmazását.

Summa summárum, most így néz ki a szkript eleje (megjegyzések a bejegyzés végén):
#!/bin/sh
## Home standalone gép.
 
## Megkeressük az iptables-t.
IPTABLES=`which iptables`

## Vagy ha tudjuk, akkor ezt.
## /usr/sbin/iptables

## Meghatározzuk az internetre csatlakozó interface-t.
IFACE=eth0


## Vagy ezt is lehet (az IP csak minta).
## IFACE=192.168.1.1


## Először törlünk minden szabályt.
## A lánc összes szabályának törlése.
$IPTABLES -F

## Az üres lánc törlése.
$IPTABLES -X

## A csomag és byte-számlálók nullázása a lánc valamennyi szabályában.
$IPTABLES -Z


## Felállítjuk az alap policyt.
## Mindent tiltunk, amit külön nem engedélyezünk.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Megjegyzéseim:
- az már világos, hogy az alap (default) policy bárhol lehet, hiszen csak akkor érvényesül, ha a szabályok egyikére sem érvényes a bejövő/kimenő csomag.
- iptables helyének meghatározása szükséges? Láttam anélkül is.
- IFACE=eth0 - szerintem nem szükséges, mert ahol kell ott elég az -i eth0 (de ezt majd később)
- ip6tables? (IPTABLES=`which ip6tables`)
- a komment egy # vagy kettő ##? Láttam ilyet is, olyat is, tehát valószínűleg mindegy.


SP

PS.: ide írom utólag, hogy aki ezt, vagy a későbbi bejegyzéseket olvassa, mindenképpen olvassa el a kommenteket is, mert lehet benne olyan dolog is, ami ROSSZ!
A hibás, vagy vitatott részeket utólag, az eredeti bejegyzés helyén PIROS színnel megjelölöm!
Mivel ez egy sorozat lesz, a következő bejegyzést a már megvitatott (és remélhetőleg jó) változattal kezdem. (2007.03.21.17.42)

9 komment · 1 trackback

Címkék: tűzfal iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr6348797

Trackbackek, pingbackek:

Trackback: curso online vou ser concursado 2018.02.05. 20:11:15

Nagyapáink Óbudája I. - Óbuda több mint város!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.03.21. 14:12:09

„- iptables helyének meghatározása szükséges? Láttam anélkül is”

Semmi szükség nincs rá.

Sőt, mondok rosszabbat, a tököm tele a geekeskedő barmokkal, aki felesleges változók tömkelegét képesek beállítani.

IPTABLES=`which iptables` írja a szentem (nem te, akitől másoltad), mire lesz egy változód, aminek a tartalma az, hogy /usr/sbin/iptables.

Minek? Könyörgöm, minek? Láttam eddig is, hogy így szerepel, de gondoltam, majd egyszer megírom róla a frankót meg az übertutit.

Na, akkor legyen mondjuk most. Kezdjük az alapoktól, jó? Továbbra se te leszel a hülye, de ezeket tisztázni _kell_.

Aszondja, ha az ember tippet talál guglival, vagy kap a haveroktól, az RTFM szellemében az első dolga az legyen, hogy

# mütyürke --help
vagy ha az túl szűkszavú, akkor
# man édibédi

Aki nem tud angolul elegendő szinten, hogy kivesézze, mi a bánat van, az ne menjen rendszergazdának, a láma júzernek meg JFGI/UTFG vagy ATFSA.

Magyarázatként egy úgynevezett nulladik típusú szabály következik.

Soha (értsd soha) ne vegyünk át felelőtlenül se utasítást, se paraméterezést. Egyetlen karakter elírása Linuxban a halállal lehet egyenlő, és parancssoros linuxban nincs Recycle Bin, hogy ott keresgéld, hova tűnt a cég teljes adatbázisa, levelezése és dokumentumai. Ami devnullázva lett, az devnullázva lett, nincs undelete, az rm nem végez fél munkát. Más se. Az első ilyen eset után megtanulja mindenki örökre, talán nem lesz késő, aki meg nem tanulja meg, az megérdemli, és menjen lóherét kapálni.

Nem viccelek, és nem a geek duma kedvéért írom, ez a szomorú valóság.

Vissza. Konkrétan, ha man which-et tolsz, ez van az elején:

„For each of its arguments it prints to stdout the full path of the executables that would have been executed when this argument had been entered at the shell prompt. It does this by searching for an exe cutable or script in the directories listed in the environment variable PATHsing the same algorithm as bash”

Magyarul a which csak annak írja ki a teljes elérési útját, ami a PATH-ban van valahol.

Muhaha. Ami a PATH-on bévül van, az elérési út beírása nélkül indítható — feltéve, hogy nincsen(ek) még valaki(k) ugyanazon a néven, a PATH-on bévül. Ha a PATH-on kívül van azonos nevű, az teljesen érdektelen.

Foglaljuk össze: drága barátunk — hogy villantson egyet a lámáknak, vagy mert hülye és nem tudja; de mindegy — behúzza változóba az iptables-t teljes elérési úttal, holott abszolút nincs rá szükség.

Gratulálok neki, roppant bravúros, amit csinál, de én konkrétan egy nyomorult munkaállomást nem bíznék rá soha, amíg ezt le nem vetkőzi.

A Linux rendszerek felügyelete nem hókusz-pókusz, nem lámáknak szóló vetítés. Minden feleslegesen beírt karakter csak időpocsékolás, bármikor múlhat a rendszer élete két másodpercen, és ha a dögös formulát írja a rövid, velős, és ugyanúgy működő helyett, épp túllépheti az időkorlátot, plusz minden újabb karakter újabb melléütési lehetőség. Aztán baszhattya. Akár elkésett, akár elírta.

Tudom, most sótlan, merev, ortodox kockának tűnhetek, de ez van, a rendszerfelügyelet nem csak játék és mese. És ezt addig kell megszokni, amíg csak az otthoni gépünkről veszhet el ez-az.

„- IFACE=eth0 - szerintem nem szükséges, mert ahol kell ott elég az -i eth0 (de ezt majd később)”

Eltrafáltad, okokat lásd fentebb. Minden, értsd minden linuxos editor ismeri a find and replace-t (FAR), tíz másodperc alatt cserélni tudod, ha nem jó, és nyilvánvaló, hogy másik interface-re fogod cserélni, nem protokollra vagy fájlnévre.

IPTABLES=`which ip6tables` — hadd ne mondjam. A kép hátterében köpködő tevét tessék elképzelni!

„a komment egy # vagy kettő ##? Láttam ilyet is, olyat is, tehát valószínűleg mindegy.”

Igen. Formai szempontokból lehet válogatni, de a # ugyanúgy a komment jele, mint a ############################ vagy a #dvpqihdvbj4NSKD8SLS.

Más. Változnak a shellek, a sha-bang már nem kötelező, legalábbis az általam használt disztribúciókban nem. Ami chmod +x-ezve lett, és értelmes script van benne, az futni fog anélkül is. Ha spéci shell, mondjuk korn kell a jószágnak, ne adj isten perl, akkor persze kötelező.

Ha nulláról indulsz, a láncok törlése is felesleges. Ha általad kreált láncok vannak csak, akkor szintén.

Ezek után a script eleje valahogy így nézhet ki (a sha-bangot pro forma megtartottam):

-----------------

#!/bin/bash
#netfilter iptables script for a home and/or a standalone PC

# flushing all chains
iptables -F

# define chain targets to DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

-----------------

Várom a folytatást! :-)

mavo · http://polmavo.blog.hu 2007.03.21. 14:16:20

Lemaradt.

„Magyarul a which csak annak írja ki a teljes elérési útját, ami a PATH-ban van valahol.”

Kieg.

Ha úgy általában kell, hol van valami, és nincs csilivili, csak shell, arra ott a find / -name "*abrak_a_DAB_ra*".

mavo · http://polmavo.blog.hu 2007.03.21. 14:30:26

Még egy gyöngyszem.

IFACE=192.168.1.1

Nem elég, hogy felesleges, még hiba is.

IP =/= IF.

SPétör 2007.03.21. 17:19:02

"Sőt, mondok rosszabbat, a tököm tele a geekeskedő barmokkal, aki felesleges változók tömkelegét képesek beállítani."

Na végre valaki azt mondja, amit én is gondolok. Pont ezért kezdtem ezt a témát boncolgtni, mert egy csomó dolog homályos volt... kelll? nem kell? lehet, de minek? az egész úgy rossz, ahogy van... stb.

"Továbbra se te leszel a hülye, de ezeket tisztázni _kell_."

Nem is gondolom, hogy rám gondoltál. Én legalább utánajárok a dolgoknak még azon az áron is, hogy utólag én magam is hülyének tartom magam. :-)

"Minden feleslegesen beírt karakter csak időpocsékolás, ..."

Ezt mondom én is.

Nem másolom ide, de egyre jobban tetszik ez az alakuló szkript. Minnél letisztultabb, annál jobb!

IFACE vs. IP
Az ember csak néz, de nem lát. Affenébe!
Szezon a fazonnal.
Az sem mentség, hogy nem én találtam ki... látszik, hogy kezdő vagyok ebben a témában.

Akkor most átgondolom amit írtál és nemsokára folyt. köv.
Köszönöm.
SP

SPétör 2007.03.21. 17:48:17

Akkor, ha jól értem ez is felesleges:
## Az üres lánc törlése.
$IPTABLES -X

## A csomag és byte-számlálók nullázása a lánc valamennyi szabályában.
$IPTABLES -Z

??

"Sőt, mondok rosszabbat, a tököm tele a geekeskedő barmokkal, aki felesleges változók tömkelegét képesek beállítani."

mavo · http://polmavo.blog.hu 2007.03.21. 20:03:10

Ami kell, azt beírtam a két szaggatott vonal közé.

Apróság. Ha van már létező szabály a gépen, amit nem te csináltál, akkor egyszer jöhet parancssorból a -X és a -Z. de csak egyszer, mert ha jól csinálod, akkor a te scripted (vagy konfod) fog menni csak.

SPétör 2007.03.21. 22:19:36

OK, akkor ezt a csontot teljesen lerágtuk.

Nemsokára jön az INPUT csont. :-)

mavo · http://polmavo.blog.hu 2007.03.22. 08:58:54

Ó, az INPUT csont.

Nem egy vaszizdasz, ha érdekel, írhatok dögös és csontszáraz verziót is. :-)

Persze nem, várom, mit alkotsz, nem akarom elvenni az alkotás örömét.

SPétör 2007.03.22. 20:47:33

Erről van szó!
Pont ez a lényege a tanulásnak.
Megpróbálom magam.