Először is tegyük helyre az előző bejegyzésben tisztázottakat (a szkript eleje):
#!/bin/sh
# Home standalone gép.

# A lánc kiürítése.
iptables -F

# Alap policy

# Mindent tiltunk, amit külön nem engedélyezünk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPCsak még egy kérdés: IPTABLES vagy iptables? Azt olvastam, hogy az IPTABLES az alap és ha plusz szabályokat definiálunk akkor kell használni az iptables változatot, hogy ne keveredjen össze.
Több helyen láttam azt is, hogy a sort $ vagy # jellel kezdik. Ennek mi az értelme (azon kívül, hogy $=user)? Egyáltalán kell ez? Már megint kapkodtam, a # = komment. Phű de buta! :-)

"Ha van már létező szabály a gépen, amit nem te csináltál, akkor egyszer jöhet parancssorból:
$iptables -X
$iptables -ZDe mivel nincs (legalább is ezt feltételezük kiindulásnak), ez is felesleges. :-)

És akkor, ahogy ígértem:

INPUT

Első lépésként tegyük ide a minimál verziót elemenként, azután lehet ezt még cizellálni.
# INPUT szabályok.
# loopback engedélyezése.
iptables -A INPUT -i lo -j ACCEPT# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# Invalid sync bites csomagok kiszórása.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP# ssh engedélyezése - majd ha kell. Most még nekem nem kell.
# iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# A hamis IP címeket kiszűrjük.

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROPLehet, hogy az -i eth0 rész felesleges, hiszen egy (1) hálózati kártya esetén mi is lehetne?

A loggolás egy külön kérdés. Mit érdemes logolni (ezzel csatlakozom a következő kiegészítéshez is)?
Az eredeti mintában ezt a három sort ez követte:
# ami jönne, azt loggoljuk:
$ IPTABLES -A INPUT -j LOG --log-prefix "nem kellene bejonni"Ha jól értem a logikáját a dolognak (és persze alapul véve a következő kiegészítést is), ha előbb eldobom utána nincs mit logolni. Tehát ez inkább az aktuális sor elé kellene annak megfelelően átírva.
# Kiegészítés paranoidoknak (by mavo)
iptables -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 255.0.0.0/8 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 0.0.0.0/8 -j DROP# Pingelés letiltása
iptables -A INPUT -s 192.168.1.0/24 -p icmp -j DROP
iptables -A INPUT -i eth0 -p icmp -j DROPKét változat ugyanarra, már megint. Ha jól értem az első a forrás oldaláról vizsgálja a pinget, a másik pedig az interface felől (?)
# iptables -h ide vonatkozó része:

Options:
--source      -s [!] address[/mask]
                                source specification
--in-interface -i [!] input name[+]
                                network interface name ([+] for wildcard)És a végére még ez a sor volt bebiggyesztve:
# Igaz, hogy az alap szabály drop, de azért biztosra megyünk:
IPTABLES -A INPUT -j DROPÚgy érzem, hogy ez túlbiztosítás, hiszen az elején már gondoskodtunk róla:
iptables -P INPUT DROPElső nekifutásra ennyi.

SP

Akkor vágjunk bele!



Ahhoz, hogy a szkriptünk egyáltalán működjön rögtön az elején ez a sor kell:
speter:~$ which bash
/bin/bash
#!/bin/sh
## Home standalone gép.
 
## Megkeressük az iptables-t.
IPTABLES=`which iptables`

## Vagy ha tudjuk, akkor ezt.
## /usr/sbin/iptables

## Meghatározzuk az internetre csatlakozó interface-t.
IFACE=eth0

## Vagy ezt is lehet (az IP csak minta).
## IFACE=192.168.1.1

## Először törlünk minden szabályt.
## A lánc összes szabályának törlése.
$IPTABLES -F

## Az üres lánc törlése.
$IPTABLES -X

## A csomag és byte-számlálók nullázása a lánc valamennyi szabályában.
$IPTABLES -Z

## Felállítjuk az alap policyt.
## Mindent tiltunk, amit külön nem engedélyezünk.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

Megjegyzéseim:
- az már világos, hogy az alap (default) policy bárhol lehet, hiszen csak akkor érvényesül, ha a szabályok egyikére sem érvényes a bejövő/kimenő csomag.
- iptables helyének meghatározása szükséges? Láttam anélkül is.
- IFACE=eth0 - szerintem nem szükséges, mert ahol kell ott elég az -i eth0 (de ezt majd később)
- ip6tables? (IPTABLES=`which ip6tables`)
- a komment egy # vagy kettő ##? Láttam ilyet is, olyat is, tehát valószínűleg mindegy.

SP

Visible
Autohide
Toolbar width percent: 74
Maximize over
Layer
Placement
Alpha: 255
iconbar Mode
Clock: 24
Edit Clock FormatA beállításhoz a megfelelő sorra kell kattintani. Amennyiben csak egy választás Pl. Autohide akkor egy kattintással lehet kiválasztani, ha értéket is kell állítani Pl.: Alpha akkor jobb egér növeli bal egér csökkenti az értéket.
%Y.%m.%d. %k:%Mazaz most éppen ez látható: 2007.03.19. 22:00

Fontosabb beállító fájlok ($HOME/.fluxbox/):

init – fő konfiguráció;
menu – root menü pontjainak definiálása;
keys – billentyűkombinációs parancsok definiálása;
apps – megadhatjuk, hogy emlékezzen-e az ablakok pozíciójára, méretére, dekorációira;
lastwallpaper – fbsetbg által létrehozott beállításfájl.

Első lépésként megváltoztattam az asztal hátterét.
Ezt az init file megfelelő sorának átírásával lehet elvégezni.
session.screen0.rootCommand:    fbsetbg -f /home/speter/Képek/Wallpaper(úgy emlékszem nekem nem volt ilyen sorom, így utólag a session.screen sorok közé írtam be)

2007.03.28. 15.00
Most vettem észre, hogy ez a sor hibás, lemaradt a vége. Helyesen a teljes Path-t be kell írni, így:
session.screen0.rootCommand:    fbsetbg -f /home/speter/Képek/Wallpaper/bg.jpgA menüm ($HOME/.fluxbox/menu) jelenleg így néz ki:
[encoding] {UTF-8}
    [begin] (www.spuhulinux.hu)
    [submenu] (SPétör)
    [exec] (Opera) {opera}
    [exec] (Firefox) {firefox}
    [nop] (---------------)
    [exec] (A GIMP) {gimp-remote }
    [exec] (gThumb) {gthumb }
    [exec] (JDictionary) {jdictionary}
    [exec] (OpenOffice.org 2.1 Writer) {openoffice.org -writer }
    [nop] (---------------)
    [exec] (Synaptic csomagkezelő) {synaptic}
    [exec] (UHU Vezérlőpult) {uhu-control-center}
    [exec] (GNOME Konfigurációszerkesztő) {gconf-editor}
    [exec] (Fájlböngésző) {nautilus --no-desktop --browser }
    [exec] (GNOME Commander) {gnome-commander}
    [exec] (Gnome Terminál) {gnome-terminal}
    [exec] (gedit) {gedit }
    [exec] (Gnome fájlkereső...) {gnome-search-tool}
    [end]
        [separator]
        [include] (/usr/share/fluxbox/menu2[.LANG])
    [end]
[endencoding]A beíráshoz az ötleteket innen vettem:
/usr/lib/menu/fluxbox/menu.huRögtön ezután beállítottam a "gyors-gombokat" (billentyűkombinációk)

A ~/.fluxbox/keys fájlt kell szerkeszteni: „billentyűlista :parancs”

A Mod1 az ALT-nak, a Mod4 a Windows-gombnak felel meg.

2007. április 24. 17.00

Pontosítás, kiegészítés
Mod1 - alt
Mod3 - alt gr
Mod4 - bal super/win
Mod5 - jobb super/win

Használható parancsok:
Minimize
Close (az aktuális ablakra vonatkoznak)
ExecCommand <parancs>
NextWindow (aktuálissá teszi a következő ablakot)
Workspace N (az N. Munkaasztalra vált)

Pl.:
       Mod1         f          :ExecCommand firefox
       Mod1         F4         :Close

vagy a jelenlegi keys file-om:
Mod1 Tab :NextWindow
Mod1 Shift Tab :PrevWindow
Mod1 F1 :Workspace 1
Mod1 F2 :ExecCommand fbrun
Mod1 F3 :Workspace 3
Mod1 F4 :Workspace 4
Mod1 F5 :Workspace 5
Mod1 F6 :Workspace 6
Mod1 F7 :Workspace 7
Mod1 F8 :Workspace 8
Mod1 F9 :Workspace 9
Mod1 F10 :Workspace 10(hát, van még mit állítanom rajta)

Ami még hátra van:
Tabs
Icons
na meg az a fránya numlockx
(a többit majd meglátom)

SP

speter:~$ top h
        top: procps version 3.2.7
usage:  top -hv | -bcisSH -d delay -n iterations [-u user | -U user] -p pid [,pid ...]

speter:~$ top ?
        top: unknown argument '?'
usage:  top -hv | -bcisSH -d delay -n iterations [-u user | -U user] -p pid [,pid ...]A top parancsra kapott kimenetet nem tudom ide másolni mert túl hosszú és persze folyamatosan változik.

Akit ennél jobban érdekel, bővebb leírás itt.

Kicsit bővítem, most találtam itt:

top - 14:19:53 up 62 days,  3:35, 14 users,  load average: 0.01, 0.02, 0.00
Tasks: 102 total,   7 running,  93 sleeping,   0 stopped,   2 zombie
Cpu(s):   0.3% user,   0.1% system,   0.0% nice,  99.6% idle
Mem:    514736k total,   497232k used,    17504k free,    56024k buffers
Swap:  1794736k total,   104544k used,  1690192k free,   235872k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  Command
 1426 root      15   0  116m  41m  18m S  1.0  8.2  82:30.34 X
20836 jj        15   0   820  820  612 R  1.0  0.2   0:00.03 top
    1 root      15   0   100   96   72 S  0.0  0.0   0:08.43 init
    2 root      15   0     0    0    0 S  0.0  0.0   0:04.96 keventd
    3 root      34  19     0    0    0 S  0.0  0.0   0:00.99 ksoftirqd_CPU0
    4 root      15   0     0    0    0 S  0.0  0.0   0:33.63 kswapd
    5 root      15   0     0    0    0 S  0.0  0.0   0:00.71 bdflush
        [...]
 1362 root      15   0   488  452  404 S  0.0  0.1   0:00.02 nscd
 1363 root      15   0   488  452  404 S  0.0  0.1   0:00.04 nscd
 1377 root      17   0    56    4    4 S  0.0  0.0   0:00.00 mingetty
 1379 root      18   0    56    4    4 S  0.0  0.0   0:00.01 mingetty
 1380 root      18   0    56    4    4 S  0.0  0.0   0:00.01 mingetty


(Megjegyzés: nekem inkább egy top - parancs kimenetének tűnik. A top -n 1 valóban egy kiírás után leáll.)

SP

Néhány kérdés kezdésnek:

1. Többféle változatot láttam az alap Policy beírásának az elhelyezésére.
(Pl.: $IPTABLES INPUT DROP)
Ezt láttam már az elején együtt:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROPLátttam a láncok végén külön is.