Új hozzászólás Aktív témák
-
Jester01
veterán
válasz
VladimirR
#134
üzenetére
Én meg a kérdésed nem értem
Az iptables alapból csomagszûrõ. Ha azt mondtad neki, hogy csak a 22es és 80as portra engedjen be csomagot akkor azt fogja csinálni. Egy csomag önmagában hiába válasz egy kimenõ csomagra, mert nem a kapcsolatot engedélyezi hanem minden csomagra megnézi. Ezért kell a ''state'' szûrõ, ami nyilvántartja a kapcsolatokat.
Az ftp-s dolog meg egy biztonsági beállítás miatt van ami megköveteli az ip címek egyezését és õ nem tudja, hogy ez a kettõ ugyanaz. Rugdosni kellene a klienst, hogy azt az ip-t küldje a port parancsban amelyik ipn a szerver látja. -
Jester01
veterán
válasz
VladimirR
#132
üzenetére
Az a baj, hogy a kifelé kezdeményezett kapcsolatokra érkezõ választ is eldobod. A példádban a lokális 3422-es portról kapcsolódtál a ph! 80-as portjára, így az onnan érkezõ válaszcsomag a 3422-es portra irányul ezt pedig letiltottad.
Megoldásként például:
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Fapadosabb és kevésbé biztonságos (viszont nem olyan erõforrásigényes), ha az 1024 feletti portokra engedélyezed a kapcsolódást. -
Jester01
veterán
Debian alatt az /etc/network/interfaces fájlba közvetlenül is bele lehet írni a megfelelő interface-hez:
# A more complicated ethernet setup: (the ''up'' lines are executed verbatim
# when the interface is brought up, the ''down'' lines when it's brought down)
#
# iface eth0 inet static
# address 192.168.1.42
# network 192.168.1.0
# netmask 255.255.255.128
# broadcast 192.168.1.0
# up route add -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2
# up route add default gw 192.168.1.200
# down route del default gw 192.168.1.200
# down route del -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2 -
Jester01
veterán
Hmm, ha a UG akkor valószínűleg nem * van a második oszlopban. Ha mégis, akkor nem jó, és addig rugdosd amíg ott a novelles gép ipje (172.16.10.128) nem lesz. A parancsot L3zl13 írta a #107ben. Gondolom a novelles gép 10-es hálókártyájára van dugva a linux.
Kb ilyen route tábla kellene:
172.16.10.0 * 255.255.255.0 U 0 0 0 eth0
172.16.11.0 172.16.10.128 255.255.255.0 UG 0 0 0 eth0
172.16.12.0 172.16.10.128 255.255.255.0 UG 0 0 0 eth0
10.10.10.0 * 255.255.255.0 U 10 0 0 eth1
default 10.10.10.1 0.0.0.0 UG 10 0 0 eth1 -
Jester01
veterán
Ha dabadab megoldása sem jó, akkor íme egy újabb javaslat:
iptables -I FORWARD -s 192.168.1.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -j DROP
Csak azt nem értem, hogy az én elsõ javaslatom hatására miért ment még mindig az internet? Az vili, hogy a belsõ hálót tiltotta, de elvileg minden átmenõ forgalmat tiltania kellett volna. Vajon melyik láncon megy az internet felé? -
Jester01
veterán
Akkor ott valami furcsa topológia van, de legalábbis nem az, amire én gondoltam.
Úgy képzeltem, hogy van egy rakat gép egy helyi hálón amik egy/több switchen látják egymást, illetve van egy firewall gép, amin keresztül neteznek. Ebben a konfigban a firewallon eleve nem is lehet tiltani a helyi hálót, mert nem megy rajta keresztül. Az internetet viszont nálam ez remekül letiltja.
Az iptables alapból csomagszûrõ. Ha azt mondtad neki, hogy csak a 22es és 80as portra engedjen be csomagot akkor azt fogja csinálni. Egy csomag önmagában hiába válasz egy kimenõ csomagra, mert nem a kapcsolatot engedélyezi hanem minden csomagra megnézi. Ezért kell a ''state'' szûrõ, ami nyilvántartja a kapcsolatokat.
Új hozzászólás Aktív témák
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
- The Elder Scrolls Online Imperial Collector s Edition
- Fallout 4 Pip-Boy Edition eladó
- Azonnali készpénzes INTEL CPU AMD VGA számítógép felvásárlás személyesen / postával korrekt áron
- Thermalright Aqua Elite 360 V3
- 224 - Lenovo LOQ (15IRX10) - Intel Core i7-13700HX, RTX 5060 (ELKELT)
- KÉSZLETKISÖPRÉSI UltraAkcióóó! MacBook Air M4 16GB 256GB Garancia - több színben!
- Sony PS3/PS4/PS5 és kézikonzolok Okosítása és Szoftveres szintű javítása - MÁR 13.00-S PS4 IS!
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest