Mostanában kissé leültek a fórumok, úgyhogy most itt is rögzítem azt a néhány kérdésemet, ami iptables témában felmerült, nehogy elfelejtsem:

Ha ilyen sor van a szkriptben, akkor kell-e az utána következő kettő sor?
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPTAzt gondolom, hogy ha az interfész alapján már szűrtük az ESTABLISHED csomagokat, akkor udp és tcp szerint ugyanez már duplázás lenne.

DHCP feltétlenül kell? (anélkül is ment - elvileg dinamikus IP, de statikus beállítással működik)
iptables -A INPUT -i etho -p tcp --sport 68 -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 68 -j ACCEPTHa ilyen sor van az INPUT-ban:

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTés ilyen az OUTPUT-ban:

iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 20,21,22,25,53,67,80,110,443,465,995,1024,1863,36013 -j ACCEPT

akkor kellenek-e ezek:

iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT...a magam amatőr módján úgy gondolom, hogy ha INPUT-ban engedélyeztük az ESTABLISHED és RELATED módot, valamint az OUTPUT-ban a megfelelő interfészre és portokra ACCEPT, akkor külön ezt már nem kell szabályozni.

A csomagszűrő HOWTO-ban olvastam ezt:

Példánk szerint a következő szabály valamennyi 192.168.1.1 IP-címre érkező töredéket eldob:
iptables -A OUTPUT -f -d 192.168.1.1 -j DROPEz biztos, hogy OUTPUT? Nem INPUT kellene, hogy legyen?

Jön még a fragmented csomagok szűrése:
iptables -A INPUT -f -i eth0 -j DROPMeg ide másolom az egyik hozzászólásomat is, csak hogy egy helyen legyenek az aktuális kérdéseim:

...a hálózat felépülése és a tűzfal szabályunk érvényesülése előtt hogyan lehet védeni a gépet (egyáltalán mi marad a rendszerben, ha leállunk). Egy háttéranyag arról ír, hogy érdemes a boot idejére egy másik szkriptet betöltetni, ami mindent tilt és azután az induló szkriptünk majd törli (iptables -F). Én inkább azon gondolkodom, hogy a leálláskor hogyan lehetne törölni a mi szabályunkat, mert ugye az alap policy DROP és ha ez marad addig, amíg a miénk elindul, akkor kb. ugyanezt értük el. Ha jól gondolom...

És hát persze a log kérdése.

Most akkor egy kis iptables búvárkodás következik, azért azt hiszem, hogy még néhány fórumon felvetem ezt a kérdést.

SP

Első benyomásom az volt, hogy igen gyors. Persze, rögtön feltűnt az is, hogy már megint egy puritán cucc, amin még egy menü sor sincs, meg az is, hogy eltérően a megszokott gnome-terminal-tól ez fehér. (Ezasztán a tudomákonyos meglátás...).
Szinte alig találtam róla valamit a neten, de első volt a man page.
Itt persze jó linuxos szokás szerint megtalálható az összes opció, de azt hogy ezeket hogyan kell összefűzni azt igen nehezen lehetett innen és más oldalakról összelapátolni. (Ez persze inkább UNIX téma.)
Először is kerestem a menüt. Megtaláltam!
Ctrl + bal / jobb /  középső klikk.
Ezekben lehet változtatni dolgokat, de arra még nem jöttem rá, hogy ezt hogyan lehet elmeneteni. Pontosabban valahol írtak valamilyen Xdefault file-ról, de az már meg sem lepett, hogy nem találtam.
Végül gondoltam egy nagyot és miután a Krusader indítás root joggal téma körüljárásakor rájöttem, hogy hogyan lehet parancssorból az xterm-öt különböző módon elindítani, írtam (és kipróbáltam) néhány sort, amit végül a Fluxbox menübe is beírtam, így most onnan indul az xterm segítségével a Krusader rendszergazdaként, de megy az xterm root-ként és a mount is.

A továbbiakban bemutatom a Fluxbox menüm parancssorait és a menüket képekben.

Nem hiszem el!

AZT JÓL IS TESZED! MÁR MEGINT NEM MEGY!  >> 2007. május 01. 22.50
Gyerünk gondolkodni, hogy miért ment délután?!
Lehet, hogy a próbálgatásoknál egy xhost + bent maradt??? --> a folytatásban.

Valami mégis készül Hunniában... >> 2007. május 02. 14.40
Egy újabb próbálkozás --> a folytatásban.

Ez nem is megoldás, ez csak "szarva közt' a tőgyét" típusú megfejtés.

Olvasgatom a kádban a "Linux asztali gépen" című könyvet és látom ám, hogy a Fluxbox (és más könnyűsúlyú ablakkezelő) esetében az xterm terminál emulátort írja alapnak.
Hmmm... (mondtam... persze, a kádban. Hol máshol?). Hát miért nem próbáljuk meg xterm-mel ezt a fránya Krusader-t rendszergazdai jogokkal elindítani??

Megpróbálom összefoglalni a témát, ahogyan jelenleg állok:

Ahhoz, hogy saját tűzfalunk (beállításunk) legyen, két dolog (meg még egy) kell:

• tűzfal szkript
• .service file Lemaradt a név, helyesen: valami.service file (nálam my_firewall.service)
  

és a még egy

• üres .service file Lemaradt a név, helyesen: valami.service file (nálam my_firewall.service)

Lehetne persze mindenféle "varázslatot" elkövetni és terminálba irogatni, majd menteni az iptables szabályokat, de számomra ez (IQ szempontjából) követhetetlen (érteni értem, csak elvesztem a fonalat közben). Sokkal jobban szeretem, ha átlátható az egyszerű ember (én) számára is, amit csinálok - azaz írjunk egy szkriptet.