spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

március 2024
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

iptables két interfészre

2007.06.26. kedd 11:36 SPétör


Az élet nem áll meg... már megint kedvenc témám van terítéken.

Az ok erre az eléggé el nem ítélhető tettemre az, hogy a laptopomon (lásd itt) két interfész van - eth0 és ath0.
A tűzfal szkript viszont csak eth0-ra lett megírva.
Kerestem a megoldást mindenfelé, de csak amolyan "gányolásokat" találtam. Szkripteket, amelyek megkeresik a létező interfészeket és a a tűzfal szkript megfelelő helyére beírják azt. Ez lehet, hogy egy több gépet is kiszolgáló, átjáróként, tűzfalként működő gépnél jó megoldás, de nekem ez nem kell.
Egy gép és csak én használom. Legyen szó akár vezetékes, akár vezetéknélküli csatlakozásról.


Első nekifutásra azt gondoltam, hogy talán van valamilyen megoldás a két interfészre (valami ilyesmi: IFACE_E=eth0, IFACE_A=ath0) és erre változtatni az -i után következő részeket. Ez valójában a szabályok duplázása lett volna a két különböző interészre. Ez nem tetszett.
A man-ban találtam a "+" alkalmazásáról valamit, de ez is csak így írta, hogy pl.: eth+ az az összes eth-val kezdődő interfészre illeszkedik. De nekem eth0 és ath0 van.

Egy speciális opció: ha az interfész név után "+"-et teszünk, az valamennyi interfészre illeszkedni fog (függetlenül attól, hogy az interfész fent van-e, vagy sem), melynek a neve a "+" előtti szöveggel kezdődik. Például egy olyan szabályt, mely az összes ppp interfészre illeszkedni fog, az -i ppp+
Az interfész neve egy "!"-vel maga előtt azokra a csomagokra fog illeszkedni, melyek nem az adott interfészre érkeznek vagy nem az adott interfészről távoznak. kapcsolóval használjuk.

Egy kiegészítés:

If the -i parameter is used but no interface is specified, then every interface is affected by the rule.

Tehát, ha jól értem az -i kapcsoló interfész megjelölése nélkül, minden interfészre illeszkedni fog.

Egy példa sor a szkriptből:

iptables -A INPUT -i -m state --state ESTABLISHED,RELATED -j ACCEPT
Persze nem ilyen egyszerű a dolog, mert a tűzfal szkript újraindítása során hibaüzenettel elhal. Hiányolja az interfész meghatározását.

Akkor próbáljuk meg ezt:
iptables -A INPUT -i "" -m state --state ESTABLISHED,RELATED -j ACCEPT
Úgy tűnik, hogy működik(?).

Tehát a szkript most így néz ki:

#!/bin/sh
# Home standalone gép.

# A lánc kiürítése.
iptables -F

###############
# Alap policy #
###############

# Mindent tiltunk, amit külön nem engedélyezünk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# FORWARD most nem kell, de lehetőségként itt hagyjuk.
#iptables -P FORWARD DROP

###################
# INPUT szabályok #
###################

# loopback engedélyezése
iptables -A INPUT -i lo -j ACCEPT

# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -i "" -m state --state ESTABLISHED,RELATED -j ACCEPT

# DHCP
iptables -A INPUT -i "" -p tcp --sport 68 -j ACCEPT
iptables -A INPUT -i "" -p udp --sport 68 -j ACCEPT

# A nem tőlünk származó csomagokat eldobjuk
iptables -A INPUT -i "" -m state --state INVALID -j DROP

# A fragmented csomagok szűrése
iptables -A INPUT -f -i ""  -j DROP

# Invalid sync bites csomagok kiszórása.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# ssh engedélyezése - majd ha kell. Most még nem kell.
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# A hamis IP címeket kiszűrjük.
iptables -A INPUT -i "" -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i "" -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i "" -s 10.0.0.0/8 -j DROP

# Kiegészítés paranoidoknak (by mavo)
iptables -A INPUT -i "" -s 255.0.0.0/8 -j DROP
iptables -A INPUT -i "" -s 0.0.0.0/8 -j DROP

####################
# OUTPUT szabályok #
####################

# A loopback-en engedélyezzük a forgalmat.
iptables -A OUTPUT -o lo -j ACCEPT

# Egy kis magyarázat a következő sorokhoz, hogy tudjam, melyik port mi.
#    20 port - FTP
#    21 port - FTP
#    22 port - SSH
#    25 port - SMTP
#    53 port - DNS
#    67 port - DHCP
#    80 port - HTTP
#   110 port - POP
#   443 port - HTTPS
#   465 port - SMTPS (Gmail)
#   995 port - POPS (Gmail)
#  1863 port - GAIM (az MSN-hez)
# 36013 port - SKYPE


iptables -A OUTPUT -o "" -p tcp -m multiport --dports 20,21,22,25,53,67,80,110,443,465,995,1863,36013 -j ACCEPT

iptables -A OUTPUT -o "" -p udp -m multiport --dports 20,21,22,25,53,67,443 -j ACCEPT


########
# Ping #
########

# A kifelé menő ping-re szükség lehet.
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

###########
#   LOG   #
###########

# INPUT Log
iptables -A INPUT -j LOG --log-prefix "INPUT"

# OUTPUT Log
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT"
(Vezetéknélküli módban még nincs kipróbálva)

Vajon jó ez?


SP



Kiegészítés 2007 június 27. 11.55

Az -i elhagyható! Lásd mavo hozzászólását.

SP

7 komment

Címkék: biztonság iptables dual homed

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr92106171

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.06.27. 10:10:24

A helyzet egyszerűbb.

Ha minden interfészre alkalmazni akarsz egy szabályt, egyszerűen _elhagyod_ az opciót.

Tehát pl. az, hogy

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

minden interfészre érvényes, az meg, hogy

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

csak az et0 interfészre.

Teccikérteni? :-)

SPétör 2007.06.27. 11:51:38

Teccik... :-)
Így tanul az ember!
Érdekes, hogy ezt nem találtam meg. (?)
Ezek megvoltak:
-i eth+
-i ! eth0
meg még:
-i (minden nélkül, de ezt már írtam, hogy nem működött)
De amit írtál, az tetszik a legjobban. :-)
SP

mavo · http://polmavo.blog.hu 2007.06.27. 13:31:51

Az, hogy -i ! eth0 azt jelenti, hogy bármi, csak az eth0 nem ... :-)

SPétör 2007.06.27. 14:08:48

Persze, csak a lehetőségeket írtam le. :-)
Azon ugyan gondolkodtam, hogy mivel eth0 és ath0 van a gépen, lehetne-e valami ilyet írni pl.: -i ! eth3
Mert akkor ugyebár a szabály minden nem eth3 interfészre igaz (függetlenül attól, hogy nincs is eth3).
De ez nem tetszett, ezért is kerestem tovább. A te megoldásod az első helyezett.
SP

mavo · http://polmavo.blog.hu 2007.06.28. 17:49:58

Amúgy meg ilyenkor vetődik fel ismét — szerintem jogosan —, hogy miért nem keresik a legegyszerűbb megoldást azok, akik megoldásokat javasolnak. Jó, ez nekem háklim, egyszer már írtam ide be kommentet erről.

SPétör 2007.06.29. 09:15:53

Na, ez az! Mert "okoskodnak". Tisztelet a kivételnek. :-)
Mi meg próbáljuk kihámozni a jót.
SP

SPétör 2007.06.29. 11:05:47

Na ez a kommentem tűnt el, de jó, hogy kapom az értesítést a hozzászólásokról...

"Emlékszem...
Így van. Én is azon szoktam elmerengeni, hogy miért kreálnak bonyolult megoldásokat, ha van egyszerű is. Talán így "tudományosabbnak" tűnik nekik? :-)
Egyébként pont azt szeretem a linuxban, hogy vannak ilyen tök egyszerű húzásai.
Ebben a témában is elég sokat olvastam már ahhoz, hogy elmondhassam: a kezdőknek nincs könnyű dolguk. Hogyan tudnánk kihámozni az ocsú közül a búzát, ha még nem is találkoztunk vele?
SP
süti beállítások módosítása