/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
ipchains/iptables + 2 netkort
Fra : Kim Emax

Dato : 10-06-06 09:48
Hej

Jeg har en gl. RH7.3, der fungerer som DHCP på to netkort, eth0 tager
sig af ydersiden og eth1 af indersiden. Jeg vil så gerne blokere for
al trafik og tillade adgang på nogle få porte, men kan se at alt
blæser lige igennem.

]# ipchains -L
Chain input (policy DENY):
target prot opt source destination
ports
ACCEPT tcp -y---- anywhere anywhere any
-> bootps:bootpc
ACCEPT tcp -y---- anywhere anywhere any
-> http
ACCEPT tcp -y---- anywhere anywhere any
-> 4000
ACCEPT tcp -y---- anywhere anywhere any
-> 6891:6901
ACCEPT all ------ anywhere anywhere n/a
# lo
ACCEPT all ------ anywhere anywhere n/a
# eth0
ACCEPT all ------ anywhere anywhere n/a
# eth1
REJECT tcp -y---- anywhere anywhere any
-> 0:1023
REJECT udp ------ anywhere anywhere any
-> 0:1023
REJECT tcp -y---- anywhere anywhere any
-> 1024:65535
REJECT udp ------ anywhere anywhere any
-> 1024:65535
Chain forward (policy DENY):
target prot opt source destination
ports
MASQ all ------ 192.168.0.0/24 anywhere n/a
Chain output (policy ACCEPT):


Jeg formoder at det skyldes min regel om accept på eth0, hvis ja,
hvordan skruer man den sammen. Hvis nej, andre bud på årsagen til
problemet?

Svarene kan også være til iptables, da jeg overvejer at bruge den
fremover.

mvh
Kim Emax


 
 
Michael Rasmussen (10-06-2006)
Kommentar
Fra : Michael Rasmussen

Dato : 10-06-06 10:01
On Sat, 10 Jun 2006 01:47:36 -0700, Kim Emax wrote:

>
> Jeg formoder at det skyldes min regel om accept på eth0, hvis ja, hvordan
> skruer man den sammen. Hvis nej, andre bud på årsagen til problemet?
>
> Svarene kan også være til iptables, da jeg overvejer at bruge den
> fremover.
Du kan måske have glæde af disse scripts skrevet af Henrik Størner:
ipchains: http://www.sslug.dk/sikkerhed/ipchains.html
iptables: http://www.sslug.dk/sikkerhed/netfilter.html

De er et godt udgangspunkt for din egen løsning.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Kent Friis (10-06-2006)
Kommentar
Fra : Kent Friis

Dato : 10-06-06 13:06
Den 10 Jun 2006 01:47:36 -0700 skrev Kim Emax:
> ACCEPT all ------ anywhere anywhere n/a
> # eth0
>
> Jeg formoder at det skyldes min regel om accept på eth0, hvis ja,
> hvordan skruer man den sammen. Hvis nej, andre bud på årsagen til
> problemet?

Ja, når du beder om at åbne for trafik fra internettet, er der
naturligvis fri adgang. Det kan godt løses, men:

> Svarene kan også være til iptables, da jeg overvejer at bruge den
> fremover.

Lige præcis den problematik er 100 gange nemmere i iptables, så hvis
du vil skifte, så gør det nu, i stedet for at lære en hel masse om
ipchains du ikke har brug for.

Med iptables behøver du ikke åbne for trafik fra internettet, der
åbner du bare for "established", som er connections der allerede
eksisterer, hvilket de gør fordi de er skabt af trafik indefra.

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

Og så tager man typsik lige related med:

iptables -A INPUT -m state --state RELATED -j ACCEPT

(Helt præcis hvad "related" er skal du ikke spørge mig om, FTP
data connections må høre under related, men om ICMP pakker
(fx TTL exceeded) ryger under established eller related er jeg
ikke klar over).

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

Kim Emax (10-06-2006)
Kommentar
Fra : Kim Emax

Dato : 10-06-06 16:04

Kent Friis skrev:

> Ja, når du beder om at åbne for trafik fra internettet, er der
> naturligvis fri adgang. Det kan godt løses, men:



> Lige præcis den problematik er 100 gange nemmere i iptables, så hvis
> du vil skifte, så gør det nu, i stedet for at lære en hel masse om
> ipchains du ikke har brug for.

Præcist min tanke, da jeg allerede andre steder bruger iptables. Jeg
troede i første omgang bare at iptables ikke var installeret korrekt
på denne server og da ipchains allerede kørte, så forsatte jeg med
den.

> Med iptables behøver du ikke åbne for trafik fra internettet, der
> åbner du bare for "established", som er connections der allerede
> eksisterer, hvilket de gør fordi de er skabt af trafik indefra.

Det lyder som om at åbner jeg for en omgang edonkey, så er der hul
igennem? Det er jeg ikke interesseret i (naboen bruger også
netværket), derimod at åbne op for få ting og blokke resten. Men tak
for infoen om state, ganske interessant.

/Kim Emax


Kim Emax (10-06-2006)
Kommentar
Fra : Kim Emax

Dato : 10-06-06 16:08

Michael Rasmussen skrev:

> Du kan måske have glæde af disse scripts skrevet af Henrik Størner:
> ipchains: http://www.sslug.dk/sikkerhed/ipchains.html
> iptables: http://www.sslug.dk/sikkerhed/netfilter.html
>
> De er et godt udgangspunkt for din egen løsning.

Tak, interessant læsning, Jeppe Kofoeds script ser ud til at kunne
det, jeg skal bruge. Syns bare jeg vil ordenligt ind i det

Findes der et gui til windows til iptables? Tanken er på længere sigt
at sætte noget lignende op i en butik, men skal de kunne administrere
firewallen selv, så er det nok en fin ide med noget grafisk hurlumhej.

/Kim Emax


Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.