2007.04.18. szerda 10:39
SPétör
Megpróbáltam az INPUT és OUTPUT láncokat egyszerűsíteni.
Az eredmény:
#!/bin/sh
# Home standalone gép.
# A lánc kiürítése.
iptables -F
###############
# Alap policy #
###############
# Mindent tiltunk, amit külön nem engedélyezünk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# FORWARD most nem kell, de lehetőségként itt hagyjuk.
#iptables -P FORWARD DROP
###################
# INPUT szabályok #
###################
# loopback engedélyezése
iptables -A INPUT -i lo -j ACCEPT
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT
# Invalid sync bites csomagok kiszórása.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# ssh engedélyezése - majd ha kell. Most még nem kell.
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# A hamis IP címeket kiszűrjük.
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
# Kiegészítés paranoidoknak (by mavo)
iptables -A INPUT -i eth0 -s 255.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
# Pingelés tiltása.
iptables -A INPUT -i eth0 -p icmp -j DROP
# Vagy ez jobb?
# iptables -A INPUT -p icmp -m state -state ESTABLISHED,RELATED -j ACCEPT
####################
# OUTPUT szabályok #
####################
# A loopback-en engedélyezzük a forgalmat.
iptables -A OUTPUT -o lo -j ACCEPT
# Jóváhagyott kapcsolatok engedélyezése.
#A szükséges portokat az alábbiakban engedélyezem... tehát nem tudom, hogy ez a sor kell-e?
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Egy kis magyarázat a következő sorokhoz:
# 20 port - FTP
# 21 port - FTP
# 22 port - SSH
# 25 port - SMTP
# 53 port - DNS
# 80 port - HTTP
# 110 port - POP
# 443 port - HTTPS
# 465 port - SMTPS
# 995 port - POPS
# 1863 port - GAIM (az MSN-hez)
# 36013 port - SKYPE
iptables -A OUTPUT -i eth0 -p tcp -m multiport --dports 20,21,22,25,53,80,110,443,465,995,1863,36013 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -i eth0 -p udp -m multiport --dports 20,21,22,25,53,443, -m state --state NEW,ESTABLISHED -j ACCEPT
# A kifelé menő ping-re szükség lehet.
iptables -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
# vagy...?
iptables -A OUTPUT -p icmp -m state -state NEW,ESTABLISHED,RELATED -j ACCEPTA felvetett kérdésekre a választ keresem, ha megtalálom, akkor javítom, kiegészítem a fentieket.
A log-ról később, külön.
SP
2007.04.16. hétfő 13:03
SPétör
Mostanában sokat turkálok a ~/.fluxbox mappában és eközben lettem figyelmes egy eddig nem ismert hibára.
Az imént említett turkálás (értsd: a mappában lévő file-ok megnyitása, esetleges változatása) közben a fluxbox asztal (Desktop) visszavált a Gnome-ra és innentől kezdve természetesen elveszik a fluxbox legalapvetőbb kezelési lehetősége, az asztalra történő kattintással előhívható menü.
Ideiglenesen a problémát áthidaltam azzal, hogy egy hotkey-t (~/.fluxbox/keys) beállítottam arra, hogy a menüt előhívja.
Control Escape :RootMenuEzzel a megoldással ki tudok lépni az adott felhasználóból és vissza, de ugyebár ez nem túl jó megoldás. A feladat adott: megkeresni az okot.
Persze lehetne azt is mondani, hogy miért piszkálom én azokat a file-okat!? > Csak.
A végső megoldás az lesz, hogy egyszerre beállítom az összes file-t és utána már nem nyúlok hozzá.
De a kiváncsiságom miatt azért ennyiben nem hagyom ezt a témát. Remélem találok rá magyarázatot.
SP
2007. április 17. 09.55
Kiegészítés a témához:
Vizsgálódásom során feltűnt, hogy a fenti probléma csak akkor jelentkezik, ha a fluxbox file-okat nautilus-szal birizgálom. Ugyanez a hiba pl. emelFM2-vel már nem jön elő.
SP
2007. április 24. 16.45
Megoldás!
Szóval igaz a hír. A Nautilus behívja a Gnome Desktopot is.
Megoldás ez:
nautilus --no-desktopazaz, ahol a sima nautilus parancsot használtam, ott ezt kell helyette.
SP
2007.04.15. vasárnap 17:09
SPétör
"DJS" hozzászólása a
numlock témához ráirányította a figyelmemet arra, hogy a fluxbox-ra való áttérés ezt a kérdést (vagyis, hogy a numlock induláskor legyen bekapcsolva) újra aktuálissá tette. Ezt a bejegyzést tehát egy hozzászólásra történő válaszomból másoltam ide, hogy így könnyen megtalálható legyen.
A numlock problémát Gnome alatt (anno) úgy oldottam meg, hogy:
Gnome Vezérlőpult / Munkamenetek / Automatikusan elinduló programok / --> hozzáadás: /usr/bin/numlockxÁttérésem a Fluxbox ablakkezelőre, ezt a problémát újra előhozta, amíg a ~/.fluxbox/apps file-ba be nem írtam ezt:
[startup] {/usr/bin/numlockx}Így már itt is működik.
(megjegyzés: a startup file-ba beírva ugyanezt nem működött pedig ez ugye erre lenne hivatott)
SP
2007. április 17. 10.00
Kiegészítés a témához:
"mmp" hozzászólása alapján felül kell bírálnom magam. Sikerült megtalálnom a "kőbaltás" megoldást, ami ugyan működik, de...
Szóval, vissza a gyökerekhez:
Az adott felhasználóra vonatkozó álllapot pedig a
~/.Xnumlock
fájlban tárolódik.
Konzolból egyszerűen elvégezhetőek a fentebb ismertetett beállítások.
Egy példa:
echo "on" > ~/.Xnumlock"
Ilyen nincs, legalábbis nem találom.
És itt jön az ötlet: Ha nincs .Xnumlock file, akkor csinálni kell!
És működik...
SP
2007.04.14. szombat 19:12
SPétör
Üdvözlet mindenkinek.
Ismét itthon.
Hétfőn folytatódik a blog.
Most valami fluxbox téma lesz, csak bemelegítésül, de utána jön ismét az iptables finomítás és összefoglaló és esetleg, csak elméleti szinten a FORWARD lánc is becsúszhat.
SP
Utolsó kommentek