Aktív témák
-
vtechun
veterán
azt tapasztaltam, hogy ha ezt is beírom akkor így lehet a szerverről is netezni meg a portok is láthatatlanok kivülről (wigwam.sztaki.hu - szerint)
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
plusz a maszkolásos sor meg a ip_forwardos sor, na most már csak ezt a konfigot kellene elmenteni, elvileg az iptables-save erre való nem? az lenne jó, ha alapértelmezetté tudnám tenni ezeket a szabályokat... -
WN31RD
addikt
'' pingelni sem tudok a szerverről... [...] valami el lett rontva, de mi?''
Az én hibám... :B
Közvetlenül az ''iptables -A INPUT -i ppp0 -j DROP'' sor elé írd be a következőt:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Így már menni fog minden a szerverről is. :) -
vtechun
veterán
iptables -A INPUT -i ppp0 -j DROP
emiatt nem nagyon tud a szerver kommunikálni a külvilággal, csak úgy ha a kliensek kezdeményezik a kapcsolatot, legalábbis azt hiszem emiatt, érdekes... pingelni sem tudok a szerverről... meg semmi, de a kliensekről megy minden... valami el lett rontva, de mi? ezt a scriptet futtattam... -
WN31RD
addikt
Az utolsó két sor elég ahhoz, hogy menjen a netmegosztás, de semmilyen extra védelmet nem nyújt.
Ha nem akarod az Arno-féle script konfigurálását megtanulni (ami egyáltalán nem nehéz, az alapértelmezett értékek általában jók), akkor legalább a következőt használd:
#!/bin/sh
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -F
iptables -A INPUT -i ppp0 -j DROP
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
A fenti script a netmegosztáson kívül azt állítja be, hogy a router gép semmilyen kívülről kezdeményezett kommunikációra ne reagáljon, kizárólag a belső hálóról induló dolgokat engedje ki, és a router szolgáltatásaihoz (pl. SSH) is csak a belső hálóról lehessen kapcsolódni, így a routered szolgáltatásaiban felfedezett esetleges biztonsági hibákat kívülről nem lehet majd kihasználni (azaz ilyen módon nem törhető fel a gép).
[Szerkesztve] -
escie
őstag
hümm. de jó lenne végre rendesen ''megtanulni'' ezt az iptables témát... :U
egyre jobban idegesít, hogy nem értem csak használom...
amúgy ezt a szkriptet egy linuxportal.hu-n lévő szkript állította elő nekem, ami kérdezett mást is...
akkor örültem, hogy működik, nem kukacoskodtam vele. megy, megy. :)
tehát akkor a netosztás, csak az uccsó két sor, a többi meg egyenlőre RTFM-kategória...
majd utánanézek...
megpróbálom kibogozni...
ha téged is érdekel a téma: man iptables :) -
vtechun
veterán
na megy már... ennek a scriptnek az utolso 2 sorat futtattam csak le és megy, a többi cucc mihez kell? # !/bin/sh/
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ebből csak
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ezt futtattam le, és így megy, a többi az mit mond meg? -
#44
loszerafin
senior tag
loszerafin
senior tag
Hadd írjam még1x, nmap nélkül NE tedd ki a netre.
A linux (is) életveszélyes kellő ismeretek hiányában.
Az nmap-nek azt kell mondania (legjobb esetben) hogy a gép valószínűleg nincs bekapcsolva.
Vagy mondjuk lát egy auth demon-t (ami természetesen nem szolgáltat rednes infokat), de tobbet semmiképpen se.
Coyote linuxszal végzel pár perc alatt és nagyon biztonságos.
De ha feltörnék (amire nem látok esélyt) sincs baj, kikapcs-bekapcs. -
#43
loszerafin
senior tag
loszerafin
senior tag
ifconfig eth2 up
-
vtechun
veterán
egy ne2k(ADLS) és 2 db realtek 8139(intranet) kártya van a gépben és mindig
csak az egyik 8139-es müxik, attól függ hova rakom, a gép indulásakor
mindegyiknek más irq-ja van, mi lehet a problem? az össze kártyát látja a
linux is nem szol, hogy vmi problem van... és mégis csak az egyikről lehet
pingelni a msáik gépet, a másik kártya mintha néma lenne... -
escie
őstag
bocs, nem nagyon kenemvágom a támát, de logikusnak tűnik, hogy az olyan sorokat, amelyben szerepel az egyik belső-kártya, azokat meg kellene duplázni, természetesen kicserélni az adott kártyára...
tehát ha működik a mondjuk a eth0(lan) és eth2(inertnet) között az osztás, akkor csak a eth1(lan)-ra kell ugyanolyan szabályokat beállítani, mint az eth0-ra...
(tényleg csak okoskodok, de talán megér egy próbát...) -
-
vtechun
veterán
kösz mindent, majd valahol utánanézek, hogy hogy rakhatom be ezt a scriptet az
''inditópultba'' :) Hopp! Most látom, hogy amit ide beírok azt helyesírásilag
ellenőrzi a Konqueror , ez király nagyon! A named-nek nem kell futnia?, meg
gondolom semmijen másik tűzfal ne fusson, mert azokat is ki kellett lőnom...,
annyi minden ilyesmit letöltöttem és azt kel látnom, hogy jó kis dolog ez az
iptables de nagyon gépközeli:) Most telepítem a leendő kis szerverre az
Uhu-Szervert, remélem azon is be tudom lőni... aztán majd berakok egy 160-as
winyót és mehet a letöltés non-stop -
escie
őstag
a webes icq kliens nekem se ment, se opera, se konqueror, mozilla, firefox, stb...
próbáld ki a kopete nevű progit, mindent tud.
a szkriptet én egyszerűen csak lefuttatom, ha meg kell osztani a netet.
valahogy lehet automatizálni, de nem tom hogy...
szerk.:
a kapcsolódást pedig a vezérlőpult>szolgáltatások>adsl menünpontban tudod automatizálni...
[Szerkesztve] -
#33
loszerafin
senior tag
loszerafin
senior tag
Azért én egy nmap-et megeresztenék kívűlről a routeremre, mielőtt nyugodtan elmennék aludni.
-
vtechun
veterán
most meg olyan gondom van, hogy a webes icq kliensel nem akar konnektálni csak egy pill erejéig linux alatt, erről a wines gépről megy jól.... linux alatt is megy a gaim-mal, tehát nem a protokollall van a gond, meg a mozilla alatt nem tudok a forumba belépni, meg a freemailba sem, galeonnal megy...de ezt most a wines gépről írom...
-
#30
vtechun
veterán
loszerafin
#29
vtechun
veterán
válasz
loszerafin
#29
üzenetére
na sikerült belőnöm a fenti script segítségével -, ezt már a másik gépről írom.. Köszi mindnekinek, mostmár kissé nyugodtabb vagyok...
-
#29
loszerafin
senior tag
loszerafin
#28
loszerafin
senior tag
válasz
loszerafin
#28
üzenetére
Coyote-nál mindehhez egy Windows alól működő GRAFIKUS beállítóprogram van, ami elkészíti
neked a floppit. -
escie
őstag
itt a szkript, de olvasd el lentebb is.
------------------------------------
# !/bin/sh/
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
--------------------------------------
ez egy sima szöveges file, ami futtatható.
tehát valami kis szövszerkkel létrehozol egy file-t, ezt beleírod, modjuk ''netoszt.sh'' legyen a file neve.
futtathatóra változtatod így: ''chmod 777 netoszt.sh''
valszeg változtatásra is szükséged lesz.
a fenti esetben a ''ppp0'' a külső, tehát a netet látó eszköz. ezt át kell majd írnod a netet látó hálókártyád nevére, ami ilyesmi: eth0; eth1; stb...
az én esetemben az eth0 a belső(LAN) kártya...
tehát ezek szerint módosítsd...
remélem érthető, ha nem, csak kérdezz, hátha tudunk még segíteni...
jahh, mégvalami!
az ipt_MASQUERADE modulnak be kell lennie töltődve...
UHU-Vezérlőpult>Kernelmodulok>Hálózat>ipv4>netfilter>ipt_MASQUERADE(Modul betöltése indításkor)
szerk: az ip_tables kernelmodult is be kell tölteni...
asszem mást nem, de majd a nálam bölcsebbek megmondják. :)
[Szerkesztve] -
PWR
aktív tag
biztos uhu-n is van egy grafikus beallitasok menü, mint pl suse-ban a yast. a suse-ban ott a tüzfalbeallitasoknal meg lehet mondani neki, hogy a gep müködjön routerkent. Egy-ket klikkel megoldhato. UHU-t sajna nem ismerem.
Küldök mailben egy rövid szkriptet, ahogy nalam müxik -
#23
vtechun
veterán
loszerafin
#22
vtechun
veterán
válasz
loszerafin
#22
üzenetére
van egy szürő amibe bejön a telefonvonal onnan kijön egy a kis möanyag dialcom ADSL Bridge-be, egy másik meg mehet a telefonba, a Dialcomból pedig megy a hálókártyába a hálókábel, a router gépben 2 hálókártya van az egyikbe megy a modem a másik meg a helyi hálózathoz kapcsolódik, na net van, csak egosztani nem tudom, magas nekem ez a sok iptables krix-krax...
[Szerkesztve] -
#21
loszerafin
senior tag
loszerafin
senior tag
Vagy megveheted az STlab ADSL routeremet, es akkor van eyg 4 portos switch-ed is egyben.
-
#18
vtechun
veterán
loszerafin
#17
vtechun
veterán
válasz
loszerafin
#17
üzenetére
azt lehet olvastam is, még amikor nem alakult át pcm-é?
-
#17
loszerafin
senior tag
loszerafin
senior tag
Coyote Linux vagy megveheted az én 486-os HP vektramat, azon fut mar 1.5 eve.
Plussz a Coyote rol irtam anno egy hosszu-hosszu cikket.
(Chip mag) -
eddie303
őstag
Te most másik géprõl veszed a netet, vagy egyenesen ADSL-rõl? Elvileg az ADSL-es részen felh. név s jelszó, mást nemigen lehet állítani, s be lehet állítanni neki, hogy a belsõ hálónak legyen DHCP szerver. Aludj egy kicsit, s pihentebben sokkal produktívabb s optimistább leszel.
-
vtechun
veterán
a doksit olvastam az egyik gépen és arról konfogoltam webes felületen a smoothwallt, de nem akart sikerülni...nem hiszem el, hogy nincs egyszerü megoldás, a neten levő gép belső hálóra csatlakozó kártyájának IP címe az átjáró, DNS ilyesmi beírna az ember és már menne is, olyan bonyolult még a legapróbb dolog is, amugy nekem is tegnap kötötték be az ADSL-t, éjszaka meg dolgoztam , ma meg ezzel szívok, már fenn vagyok vagy 27 órája..., lehet, hogy azért is vagyok kicsit ingerült:))
-
eddie303
őstag
Bocsi, ADSL-hez néma vagyok, elvileg kéne menjen alapból, ha az ADSL LAN-portra csatlakozik. Nálunk sajna nincs ADSL, így semmi tapasztalatom vele, nem is láttam soha, max kábelnetet. A smoothwall setup-jában nem lehet fellõni rendesen? A CD-n van egy jó doksi angolul... Az internetszolgáltatód MAC után azonosít?
-
vtechun
veterán
persze, hogy kell, ha ide nem is rakod be de e-mailre mindenképpen lüldd el, közben szoptam ezzel a smoothwall-al nem nagyon tetszik neki a Dialcom modemem gondolom, csak Usb-s modemekből lehet válogatni, de ezen nyoma sincs USB-nek, ugyhogy skippelem ezt is.. Most Uhu alól vagyok, nekem az is jó lenne ha ezzel meg lehetne valahogy oldani...
-
-
vtechun
veterán
hello! Épp most telepítettem fel, de nem nagyon akart csatlakozni az ADSL-el, vagy azt a másik helyi gépről kell intézni? már tele van a to:ko:m ma már vagy 6x telepítettem Uhu tüzfalt, Suse-t Smoothwal, Uhu Office-t, itthon kellene megosztani a NET-et meg gyakorolni is az ilyemit, mert rámfér.... tényleg a red meg a green az mi? a red a NETES a green meg az Intranetes hálókártya?
[Szerkesztve] -
eddie303
őstag
Elfelejtettem mondani, hogy menüvezérelt az installáció, szóval nem ördöngõs, ha abszolúte hülye az ember Linuxhoz, akkor is fel tudja rakni, max annyit kell tudjon, hogy ADSL-el vagy ISDN-el, esetleg LAN-on lesz az internethez kapcsolva, s beállítani az IP-ket, a többi megy a webes felületrõl.
-
eddie303
őstag
Legegyszerũbb amit tehetsz s javaslok: www.smoothwall.org <- kapsz egy minidisztribúciót, ami alapból erre van kitalálva, s jól támogat mindent, alapbeállításokat megcsinálod install után (az install kb 5 perc) s utána el tudod érni, mint egy fizikai routert másik géprõl böngészõvel. Csináltam ilyent több helyen, egyiknél P2-233 osztja a netet, a másikon is ilyesmi, de nem kell neki nagy gép, 486 is megteszi, s tud proxy-t is, s nem kell órákat telepíteni. Ha felteszed, utána fel kell neki tölteni a 3 kiadott frissítést, aztán ollé: 10 perc alatt van egy müködõ routered.
-
vtechun
veterán
Hello! Tud valaki valamilyen jo doksit magyarul ami érthetően és nem túlbonyolítva mondja el nekem, hogy mit is kell pontosan tennem ha az adsl-emet még 2 másik gépre meg akarom osztani... Ez szerintem elég sok embert is érdekelne..., mert sokan csak erre használják az ócska gépüket... A válaszokat előre is kössz!
Aktív témák
Állásajánlatok
Cég: FOTC
Város: Budapest