spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

december 2024
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Tűzfal probléma!!! 02

2007.04.26. csütörtök 16:12 SPétör


Nem akarom az eredeti bejegyzést Kínáig írni, ezért itt egy új, az eddig megtudottakkal:

Először is idézet az iptables man-ból:

Interfész meghatározása

Az "-i" (vagy "--in-interface") és az "-o" (vagy "--out-interface") kapcsolók egy interfész nevével való egyezést határoznak meg. Az interfész a fizikai eszköz, melyen keresztül a csomag bejön ("-i") vagy kimegy ("-o"). "Fent" levő interfész megtekintésére az ifconfig parancs használható ("fent" levőnek a pillanatnyilag működő interfészt tekintjük).

Az INPUT láncra érkező csomagoknak nincs kimeneti interfészük ("-o"), ezért az INPUT láncon ilyen szabály semmilyen csomagra nem fog illeszkedni. És hasonlóképp, az OUTPUT láncon kimenő csomagok bemeneti interfésszel nem rendelkeznek ("-i"), ezért ezen a láncon az "-i" kapcsolókkal meghatározott szabályokra nem fog illeszkedni csomag.

Tehát az INPUT láncban -i eth0, az OUTPUT láncban -o eth0 a helyes!

Volt két gépelési hiba (vesszők rossz helyen), ezeket javítottam.
A javított firewall szkriptet bemásoltam, futtathatóvá tettem... stb.
Utána gondoltam kitörlöm az előző cuccokat:
root:~# iptables -X
root:~# iptables -Z
root:~# iptables -F
Újra futtattam a szkriptet terminalból:
root:~# /usr/sbin/my_firewall
iptables v1.3.5: Bad state `'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ESTABLISHED,RELATED'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `NEW,ESTABLISHED,RELATED'
Try `iptables -h' or 'iptables --help' for more information.
Szóval valami nem tetszik neki a NEW,ESTABLISHED,RELATED argumentummal, de mi?

Megnéztem, hogy mit listáz ki az iptables -L:
root:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       all  --  192.168.0.0/16       anywhere
DROP       all  --  172.16.0.0/12        anywhere
DROP       all  --  10.0.0.0/8           anywhere
DROP       all  --  255.0.0.0/8          anywhere
DROP       all  --  0.0.0.0/8            anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            multiport dports ftp-data,ftp,ssh,smtp,domain,http,pop3,https,
smtps,pop3s,msnp,36013 state NEW,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            multiport dports ftp-data,ftp,ssh,smtp,domain,https state NEW,ESTABLISHED
És persze nem enged ki a netre.



Valami ezzel az ESTABLISHED... stb résszel nem stimmel, szóval most irány arra.

Kezd tetszeni ez a "csata". Majd a végén eldől, hogy ki nyer! --> ÉN

SP

16 komment

Címkék: biztonság probléma tűzfal iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr3663916

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.04.26. 18:56:58

Kellene egy kopi erről és az ezt megelőző pár sorról.

mavo · http://polmavo.blog.hu 2007.04.26. 18:58:39

Jut eszembe, ha konkrétan valamely kimenő portot akarsz megnyitni, erősen felesleges a csomag állapotát vizsgálni. Bocs, hogy korábban nem szóltam.

SPétör 2007.04.26. 19:46:32

Mármint a tűzfal szkriptről?

Csomag állapot:
értsem úgy, hogy az outputhoz nem is kell az ESTABLISHED, stb izé?
Tehát valahogy így?
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 20,21,22,25,53,80,110,443,465,995,1863,36013 -j ACCEPT

mavo · http://polmavo.blog.hu 2007.04.26. 19:54:39

Ami biztos így első ránézésre.

1. A vesszőhibát, ha jól értem, te is felfedezted. Valamint azt is, hogy az OUTPUT láncban -i helyett -o kell.
2. Ellenben nem vetted észre, hogy a -state került bele --state helyett. Ha kijavítod, nem fog sipákolni. :-)
3. Szerintem a DNS kéréseiddel lesz gond, próbáld megpingelni mondjuk a 217.20.131.2-t, ha az megy,lehet keresgélni, hol a hiba a dns-sel.

mavo · http://polmavo.blog.hu 2007.04.26. 19:56:29

Igen, én nem szoktam port OUTPUT-hoz állapotot nézni, mert úgyis végigmegy valamennyi fázison, de legalábbis a NEW, ESTABLISHED-en, mondjuk az ftp meg még a RELATED-en is, pláne, ha aktív és nem passzív.

SPétör 2007.04.26. 20:15:48

Ok, kipróbáltam.
--state javítva --> már nem nyühög, de net még mindig nincs.

root:~# ping -c 1 217.20.131.2
PING 217.20.131.2 (217.20.131.2) 56(84) bytes of data.

--- 217.20.131.2 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

SPétör 2007.04.26. 20:18:05

Valami itt van, de nem tudom mi az:
root:~# /usr/sbin/my_firewall
iptables v1.3.5: Bad state `'
Try `iptables -h' or 'iptables --help' for more information.
Mi a fene az a BAd state után?
' a másikat nem is találom a billentyűmön... valami vissza aposztróf... :-)

mavo · http://polmavo.blog.hu 2007.04.26. 20:29:06

Ez megint valami elírás lesz, nézd végig még egyszer!

„vissza aposztróf”

Gondolom erre gondolsz: ` (Alt-Gr + 7).

Én viszont most húzok elfele, ha időben hazaérek, kipróbálom a scriptedet élesben, mert most a céges tűzfalat bolygatom az elírások megkeresése végett, az meg kicsit bonyolultabb, plusz nem akarom hazavágni, mert ssh-val vagyok csak rajta, és ha az szétesik (értsd kizárom magamat a tűzfalról), akkor kezdhetek monitor nélkül dolgozni egy szerveren. :-)

mavo · http://polmavo.blog.hu 2007.04.26. 20:33:33

Addig egy ajánlat, csak vigyázz, ne sokáig használd, mert betelik a log partíciód. :-)

Az OUTPUT DROP elé rakj bele egy sort, aminek a végén -j LOG van.

Gyorsan futtasd le a tűzfalscriptet, pingelj meg valamit, aztán LOG sor kikomment, script újra lefuttat és a /var/log/syslog böngészése ezerrel. :-)

SPétör 2007.04.26. 20:50:51

Már végignéztem, de nem találom.
Mindjárt beteszem a legfrisebb szkript változatot egy új bjegyzésbe.
A loggolást mindjárt kipróbálom.
Köszönöm.
SP

SPétör 2007.04.26. 21:32:56

Ezzel a loggolással gondom van. Nem értem,amit javasolsz.
Az alap policy-ra gondolsz? (iptables -P OUTPUT DROP) Ez elé tegyek be egy sort? Milyet?
Nem inkább utána kéne közvetlenül?
pl: iptables -A INPUT -j LOG
Vagy már belezavarodtam?
A loggolás lett volna a következő feladatom, de addig még nem jutottam el...
SP

mavo · http://mavo.blog.hu 2007.04.27. 09:21:39

A legvégére iptables -A OUTPUT -j LOG

SPétör 2007.04.27. 09:23:44

Persze OUTPUT...
Otthon kiptóbálom.
Köszönöm a segítséget. :-)

mavo · http://polmavo.blog.hu 2007.04.27. 12:32:23

Mint sejtheted, nem értem haza időben, ezért a teszt elmaradt. Ma se megyek túl korán haza, holnap meg viszonylag korán megyek szervereket költöztetni, ami mindig jó móka, szóval, ha addig nem lesz előrejutás, akkor vasárnap lehet szó részemről a tesztről.

mavo · http://polmavo.blog.hu 2007.04.27. 12:34:03

Jut eszembe, aggódtam a log partíciód miatt, asszem, az marhaság volt, le merem fogadni, hogy te nem partícionáltad szerteszét a hdd-t. :-)

SPétör 2007.04.27. 18:47:17

Ja, köszi. Én sem értem rá. Az egyik haverommal veszkődtünk egy linksys wireless router beállításával. A púpom tele van a dinamikus meg a statikus IP-vel. Állítólag dinamikus van neki, de a végén a router csak statikussal tudott felcsatlakozni. Ki érti ezt?
Ma már pihenek, de holnap ezzel kezdek. :-)
Jó munkát!

Log partíció... micsoda? :-)
Na, ugye most már látod, hogy kivel van dolgod!?
SP
süti beállítások módosítása