| Author |
Message
|
DukE
Poziom 18
Joined: 07 Oct 2002
Posts: 480
Location: Kędzierzyn-Koźle
|
 #1
 28 Jan 2003 01:38 iptables |
|
|
|
Proboje filtrowac pakiety za pomoca iptables ,wszystkie regulki sa juz wpisane i robie iptables-save ,sprawdzam liste za pomoca iptables -L i wszystko jest ladnie spisane ,po restarcie systemu okazuje sie ze zapora wcale nie dziala ,uruchamiam menedzer startu ,zatrzymuje iptables ,uruchamiam spowrotem i mam :
* <start>Uruchamianie</start> <cmd>/etc/rc.d/init.d/iptables</cmd> **<br/>
Stosowanie regu³ iptables zapory ogniowej:
Line 1 doesn't appear to contain data generated by iptables-save.
[
NIEUDANE]
<hr/>
______
|
|
| Back to top |
|
 |
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #2
28 Jan 2003 02:56 |
|
|
|
Wywołujesz tylko iptables-save? Bo jeśli tak to nie będzie to działać bo musisz przekierować wynik działania iptables-save do pliku a po restarcie systemu zawartość pliku do iptables-restore. Jeśli tak robisc to zobacz co siedzi w pliku z zapisem informacji iptables.
Wogóle nie polecam stosowanie iptables-save/restore tylk zrobić sobie skrypcik rc.firewall z parametrami start/stop gdzie start ustawi regułki wpisane linijka po linijce do skryptu a stop wyczyści łańcuchy i ustawi domyślnie ACCEPT.
PS co to za dystrybucja bo jak widze te spolszczenia to mnie ciarki przechodzą
|
|
| Back to top |
|
|
Google
|
| #
28 Jan 2003 02:56 |
|
|
|
|
|
| Back to top |
|
|
DukE
Poziom 18
Joined: 07 Oct 2002
Posts: 480
Location: Kędzierzyn-Koźle
|
| #3
01 Feb 2003 17:25 |
|
|
|
to jest akurat spolszczony MDK9
hmm a moglbys mi opisac dokladniej jakby ten skrypcik mial wygladac ??
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #4
01 Feb 2003 17:34 |
|
|
|
Dokładnie tak jak wprowadzasz iptables PRZEZ zapisaniem przy pomocy iptables-save.KAWAŁEK mojego:
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F syn-flood
|
|
| Back to top |
|
|
Google
|
| #
01 Feb 2003 17:34 |
|
|
|
|
|
| Back to top |
|
|
DukE
Poziom 18
Joined: 07 Oct 2002
Posts: 480
Location: Kędzierzyn-Koźle
|
| #5
01 Feb 2003 17:39 |
|
|
|
hmm no tak.. a pozniej dopisac ten plik do crona ??
zdaje sie ze powinien odpalac sie dopiero po zainicjowaniu interfejsu sieciowego ;] a co do Twojego skrypciku to byla chyba komenda ktora czyscila (FLUSH) wszystko za jednym zamachem
______
pozdrawiam
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #6
01 Feb 2003 18:04 |
|
|
|
U mnie ten skrypt wywołuje rc.local który jest wywoływany zaraz po zakończeniu ładowania systemu, tuż przed udostępnieniem konsoli lokalnej.
Co do tych FLUSH to ta wersja skryptu jest w fazie rozwoju przed optymalizacją.
|
|
| Back to top |
|
|
DukE
Poziom 18
Joined: 07 Oct 2002
Posts: 480
Location: Kędzierzyn-Koźle
|
| #7
23 Feb 2003 19:24 |
|
|
|
no ok skrypcik juz zrobiony
tylko jak go teraz w praktyce wywolac w rc.local ??
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #8
23 Feb 2003 19:27 |
|
|
|
dopisz na końcu
/sciezka/do/mojego/skryptu/nazwa
|
|
| Back to top |
|
|
Google
|
| #
23 Feb 2003 19:27 |
|
|
|
|
|
| Back to top |
|
|
DukE
Poziom 18
Joined: 07 Oct 2002
Posts: 480
Location: Kędzierzyn-Koźle
|
| #9
23 Feb 2003 20:33 |
|
|
|
ox po zaladowaniu systemu wyswietlam regulki...
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG icmp -- anywhere anywhere icmp echo-request LOG level warning
DROP icmp -- anywhere anywhere icmp echo-request
DROP udp -- anywhere anywhere multiport dports bootps,netbios-ns,netbios-dgm,netbios-ssn state NEW
LOG all -- anywhere anywhere state NEW LOG level warning
DROP all -- anywhere anywhere state NEW
a pozniej proboje skanowac kompa i porty dalej sa otwarte..
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #10
23 Feb 2003 20:38 |
|
|
|
I prawidłowo że tak się dzieje, pomyśl masz regułki na przyjmowanie ftp,ssh i odrzucanie icmp (co osobiście odradzam).....
Ale pierwsza regułka to ACCEPT ALL która wszystko i tak wpuszcza
|
|
| Back to top |
|
|
