Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » iptables въпрос
Тема: iptables въпрос
Мнение #1 Skip to the next post in this topic.
Написано на: Юни 02 2008, 14:33
Стефан Павлов

Avatar




Група: Li fans
Мнения: 6
Регистриран: Юни 2008

Оценка: няма

Offline
При условие че имам тези редове в iptables:
Code Sample: 
iptables -P INPUT DROP
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d 192.168.0.2 -m limit --limit 15/min -j LOG --log-level 4 --log-prefix "* dropped by firewall *"

Нужно ли е да добавям тези (има ли смисъл?):
Code Sample: 
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP      #DROP NEW NOT SYN
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP       #DROP SYN-FIN SCANS
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP       #DROP SYN-RST SCANS
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP       #DROP X-MAS SCANS
iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP               #DROP NMAP FIN SCAN
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP              #DROP NULL SCANS
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP               #DROP ALL/ALL SCANS


В смисъл такъв те не се ли дропват още от първия ред? Въпроса ми се породи от това, че си сглабям скрипта от много източници, а там не съм виждал така написан
Контакти:  Стефан Павлов

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 02 2008, 16:57

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
не е желателно да ги добавяш, FIN_ACK timeout-a e 2w и ще ти се насъберат доста връзки които изчакват потвърждения че са приключили, вместо да сменяш политиката, защо просто не написа:
iptables -A INPUT -m state --state !\ RELATED,ESTABLISHED -j DROP

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 03 2008, 08:26
Стефан Павлов

Avatar




Група: Li fans
Мнения: 6
Регистриран: Юни 2008

Оценка: няма

Offline
Въпрос на предпочитания. На мен по ми допада, да се забрани всичко и после да се пусне нужното.
Контакти:  Стефан Павлов

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 03 2008, 11:25

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
така е по - трудно да "забележиш" нужното,
когато нужното е повече, е по - лесно да забраниш ненужното

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 04 2008, 08:29
Стефан Павлов

Avatar




Група: Li fans
Мнения: 6
Регистриран: Юни 2008

Оценка: няма

Offline
Когато логваш не е трудно. Ако нещо не работи преглеждам /var/log/messages и виждам примерно кое е спряно и порта му, който трябва да отпуша. Точно това направих със samba и cups.
Контакти:  Стефан Павлов

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #6 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 04 2008, 11:57

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
samba/cups/netbios са service-и който са достъпни само от локална/логическа мрежа
дори да не ги забраниш отвън не могат да бъдат достъпни. надявам се си наясно с това?

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #7 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 04 2008, 14:55
Стефан Павлов

Avatar




Група: Li fans
Мнения: 6
Регистриран: Юни 2008

Оценка: няма

Offline
Незнаех, но в моя случай(когато всичко е DROP по подразбиране), за да мога да печатам на мрежовия принтер трябва да се отпушат.

Код: 
# Samba
# iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -p udp -m udp --sport 137 -j ACCEPT

# Cups
# iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -p udp -m udp --sport 427 -j ACCEPT


Ако това, което казваш е вярно, мога да премахна -s частта така ли?
Контакти:  Стефан Павлов

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #8 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 05 2008, 13:47

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
ако печатат от мрежата на него и той не е вързан към теб, т.е. и той е по мрежа, трафика не би тр. да минава през теб. а директно да постъпва в принтера. ако обаче всичко което отива към принтера минава през теб, можеш да изпуснеш -s

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #9 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Юни 05 2008, 14:46
Стефан Павлов

Avatar




Група: Li fans
Мнения: 6
Регистриран: Юни 2008

Оценка: няма

Offline
Става въпрос аз да печатам на него, другите не ме интересуват. Принтера е мрежови свързан към switch. Адреса -d е на моя компютър, който е десктоп, не е някакъв рутер. Всъщност не знам защо го обсъждаме, тъй като проблем нямам и си печатам с включен този ред.
Контакти:  Стефан Павлов

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #10
Skip to the previous post in this topic. Написано на: Юни 09 2008, 12:00

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
когато не си рутер, защо си блокираш трафика??? за работна станция под линукс въобще е безсмислено да се пуска firewall-a.. това не е windows

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Общо 9 отговор(а) от Юни 02 2008, 14:33 до сега
 » Начало » Li Форуми » Help & Support » Networking » iptables въпрос

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums