spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

március 2024
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

iptables finomítás

2007.05.19. szombat 17:12 SPétör


(Próbálom tovább finomítani, egyszerűsíteni a szkriptemet...)

A pingeléssel kapcsolatban merült fel bennem a következő:
Ha van egy ilyen sor az INPUT lácban:
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
akkor ez a sor:
# Pingelés tiltása
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

talán nem is kell. (?) Ez a pingelés sor nem arra vonatkozik, hogy az általam kezdeményezett pingre visszaérkező választ beengedjem, de a külső pingeket letiltsam? Mert ha igen, akkor a fenti általános ESTABLISHED,RELATED is ezt teszi. Akkorminek külön tiltani?

A következő kérdés: DHCP kell?
#DHCP
iptables -A INPUT -i etho -p tcp --sport 68 -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 68 -j ACCEPT
(Úgy tűnik igen, de hogy miért azt még nem értem.)

És egy kiegészítés:
# A fragmented csomagok szűrése
iptables -A INPUT -f -i eth0 -j DROP
Hogy ne legyen a log mérete szükségtelenül nagy, foglalkozni kell a limit és level kapcsolókkal is.
# INPUT Log
iptables -A INPUT -m limit --limit 10/minute -j LOG --log-level 3 --log-prefix "INPUT_probe"

...valahogy így. A kérdés csak az, hogy a 10/minute és a level 3 elég-e/jó-e? Valamint annak is utána kell nézni, hogy  lehet-e így egymásra  halmozni a limit, a level és a log-prefix kapcsolókat? Ezt még nem írom be a szkriptbe, előbb utánanézek.

A finomítás után így néz ki a jelenlegi tűzfal szkript.
(Jövő héten letesztelem)

SP

8 komment

Címkék: biztonság iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr9283836

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.05.21. 11:46:23

No igen, az első ugye mindent visszaenged az eth0-n, míg a másik minden interfészen visszaengedi a pinget, tehát tkp. nem kell.

Hogy DHCP kell-e? Ezt én neked meg nem mondom, neked kell tudnod, hogy fix IP-t használsz-e, mert akkor ugye minek DHCP.

SPétör 2007.05.21. 16:12:47

ping - talán kezdem érteni a logikáját? :-)

DHCP - hát pont ez a gondom. Elvileg dinamikus, de állítólag azért kell mégis statikusra állítani, mert nem klónoztam a Mac címét a régi gépemnek (ha jól értem) és így a szolgáltatónál kellene valamit átállítatni. Nem tudom, hogy jól értettem a magyarázatot. Szóval ezért mégis statikus - ergo nem kell a DHCP(?).

mavo · http://polmavo.blog.hu 2007.05.21. 17:43:14

Egyáltalán milyen szolgáltatód van? ADSL?

SPétör 2007.05.21. 21:47:11

EMKTV a'la Terézváros

mavo · http://polmavo.blog.hu 2007.05.21. 22:28:42

Aham, kábel. Akkor azért van a MAC-es bénázás. Az sajna DHCP kéne hogy legyen.

De mindegy, mert a DHCP az OUTPUT láncon megy ki, és visszafelé ESTABLISHED relateden jön be.

SPétör 2007.05.22. 13:19:07

Ja, majd a régi gépről kimásolom a Mac-et és talán utána már működni fog a dinamikus is. :-)

DHCP - akkor az OUTPUT részben marad a DHCP engedélyezése, az INPUT-ban meg nem kell.
SP

mavo · http://polmavo.blog.hu 2007.05.22. 13:39:01

Annyira ne akarj te dinamikus IP-t. Jó, ha anonimitásról van szó, akkor jól tud jönni, de szinte minden más esetben csak a rák van vele. :-)

SPétör 2007.05.22. 14:20:04

Túl van tárgyalva!
:-)
süti beállítások módosítása