Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2014-01-16 23:17:43
dominbik - 
Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Czy mogę mieć backdoor/podsłuch?
Hej. Otrzymałem dzisiaj dziwny komunikat po skorzystaniu z gksudo o treści:
"Nie udało się przechwycić myszy. Możliwe, że jakiś złośliwy klient podsłuchuje twoją sesję." wpisałem to w Google lecz znalazłem tylko, że jest to tłumaczenie z angielskiego;
"Could not grab your mouse. A malicious client may be eavesdropping on your session.". Komunikat zamknąłem i gksudo zadziałało dopiero za drugim razem.
Olałbym to gdyby nie to, że właśnie dzisiaj pomagałem koledze przez SSH i jako, że jest za NATem a nie umie wejść na stronę routera (co dopiero przekierować port) skorzystałem z tego;
http://forum.dug.net.pl/viewtopic.php?id=23298
ale wcześniej chciałem sprawdzić czy da się do mnie połączyć (żeby sposob wymieniony wyżej zadziałał najpierw on musi się do mnie połączyć) - skorzystałem z;
http://simpleshell.com/
wpisałem hasło i zalogowałem się z tego terminala simpleshell do siebie na zrobionego kiedyś użytkownika guest do takich celow. Wszystko działało to zamknąłem i wziąłem się do pomocy koledze. Podczas pracy przypomniałem sobie, że hasło do guest jest nadal takie samo, ale skończyłem najpierw pomagać i dopiero zmieniłem. nie znam się zbytnio na sieciach i frewallach - co powinienem zrobić, jak sprawdzić/ za pomocą czego zmonitorować połączenia do mojego komputera? Wątpię żeby ktoś z simpleshell (albo po drodze czy u kolegi) to zauważył albo ktokolwiek jakkolwiek to wykorzystał, a nawet jeśli to chyba nie ma znanej metdoy podniesienia sobie uprawnien z uzytkownika do roota (uzywam jadra 3,12), ale ten komunikat trochę mnie zaniepokoił i w sumie może to być z czegos innego (np. applety javy itd....).
Ostatnio edytowany przez dominbik (2014-01-16 23:19:38)
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#2 2014-01-17 00:04:16
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Czy mogę mieć backdoor/podsłuch?
Firewall skonfigurowany? z zewnątrz nic nie wpuszcza?
Chkrootkit?
Rkhunter?
Lsof?
Snort?
Apparmor? Grsecurity? Selinux?
Zabawek masz dość, nawet więcej, niż trzeba.
Ostatnio edytowany przez Jacekalex (2014-01-17 00:05:12)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2014-01-17 00:10:00
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Czy mogę mieć backdoor/podsłuch?
właśnie nie mam firewalla. czas chyba mi go zrobić, coś by działała przeglądarka, xmpp, dropbox. Jacekalex mógłbyś polecić mi jakiś w miarę dobry poradnik na temat prostego firewalla? Wgl w 3.13 ma chyba wejsc cos takiego jak NFTables mam nadzieje, że ludzie nie będą mieli problemów z migracją ;p
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#4 2014-01-17 00:16:24
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Czy mogę mieć backdoor/podsłuch?
http://forums.gentoo.org/viewtopic-p-7310366.html
NFtables, to będzie mała jesień średniowiecza, chyba, że będzie skuteczny translator reguł (jakiśtam jest, ale nie znam jego skuteczności).
Jego się konfiguruje podobnie, jak PF w BSD, ale zupełnie inaczej, niż Iptables. ;P
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2014-01-17 00:58:29
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Czy mogę mieć backdoor/podsłuch?
http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej
Offline
#6 2014-01-17 01:05:32
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Czy mogę mieć backdoor/podsłuch?
[quote=menel]http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej[/quote]
Czemu ten tutek nie poprawiony?
Moduł state Netfiltera wyleciał, zastąpił go moduł conntrack.
W PF też od którejś wersji [b]keep state[/b] jest domyślną opcję we wszystkich regułach, i nie trzeba tego klepać osobno.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2014-01-17 01:19:07
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Czy mogę mieć backdoor/podsłuch?
w takim razie przepraszam za wprowadzenie w błąd
ja na desku używam ufw, wygodniej mi po prostu...
http://www.nibyblog.pl/ufw-czyli-nieskomplikowany-firewall-w-ubuntu-2148.html
Ostatnio edytowany przez menel (2014-01-17 01:28:51)
Offline
#8 2014-01-17 01:31:06
enether - wiecznie niewyspany
- enether
- wiecznie niewyspany
- Zarejestrowany: 2012-05-01
Re: Czy mogę mieć backdoor/podsłuch?
Ja tam mam na lapku takie regułki i działa ;)
Kod:
-P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT -N LOGNDROP -A INPUT -f -j LOGNDROP -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGNDROP -A INPUT -m conntrack --ctstate INVALID -j LOGNDROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 10/sec --limit-burst 20 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -s 192.168.1.48/32 -p tcp -m conntrack --ctstate NEW -m multiport --dports 137,138,139,445 -j ACCEPT -A INPUT -j LOGNDROP -A LOGNDROP -m limit --limit 20/sec --limit-burst 60 -j LOG --log-prefix "netfilter: " -A LOGNDROP -j DROP
Zasadniczo zasada jest prosta do opisania: Nie wpuszczaj niczego za wyjątkiem połączeń z maszynki windowsowej z sambą, jednocześnie nie przeszkadzaj sobie z połączeniami które sam rozpocząłeś.
Absolutnie żadnych problemów z tym nigdy nie miałem.
Można to ograniczyć do
Kod:
-P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -f -j DROP -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 10/sec --limit-burst 20 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -j DROP
Wersja bez logowania, które na lapku utrzymuję z czystej ciekawości. I nie wpuszcza samby ;)
Co do nftables - popatrzyłem na składnię, jakaś masakra, jak PF z BSD. Do tego wydaje się być cudownie wykastrowane ze wszystkiego. A w każdym razie w przytoczonych przykładach nie widziałem niczego poza dropowaniem adresów :X Do tego ma łączyć iptables, ip6tables, ebtables, arptables... Gdzie teraz jest stara UNIX'owa zasada "Do one thing - do it right"?
A co do backdoorów: do tego co wymienił Jacekalex dorzuciłbym jeszcze
% aptitude show debsums
Pakiet: debsums
Stan: zainstalowany
Zainstalowany automatycznie: nie
Wersja: 2.0.52
Priorytet: opcjonalny
Sekcja: admin
Opiekun: Ryan Niebur <ryan@debian.org>
Architektura: all
Rozmiar rozpakowanego: 204 k
Wymaga: perl (>= 5.8.0-3), ucf (>= 0.28), libfile-fnmatch-perl, libdpkg-perl, dpkg (>= 1.16.3)
Opis: tool for verification of installed package files against MD5 checksums[/quote]
Porówna Ci sumy kontrolne plików w systemie z tymi z paczek ;) polecam odpalać z przełącznikiem "-s" by wyświetlał tylko gdy napotka problem.Ostatnio edytowany przez enether (2014-01-17 10:25:57)
Offline
#9 2014-01-17 11:07:05
morfik - Cenzor wirtualnego świata
#10 2014-01-18 16:40:00
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Czy mogę mieć backdoor/podsłuch?
czytam już od 4h o iptables, ale przerasta mnie to. Mam coś takiego (/etc/iptables/iptables.rules):
Kod:
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p icmp -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -j REJECT --reject-with tcp-reset -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -j REJECT --reject-with icmp-proto-unreachable #pozwalanie na SSH polaczenie -A INPUT -p tcp --dport 22 -j ACCEPT COMMIT
lecz gdy to włączę przestaje mieć możliwość połączenia się z tym komputerem przez SSH (otrzymuję connection refused). Poza tym mógłbym zablokować również OUTPUT i odblokować tylko konkretne porty, którę chce np. 80,443 itd.... czy to ma wogóle sens? Ostatnio uruchamiam trochę appletów w Javie na różnych niepewnych stronkach i obawiam się, że może mi coś wyjść z komputera i wtedy taki firewall jak powyżej chyba nic nie pomoże? I ma ktoś może regułki zabezpieczające przed skanowaniem portów/SYN flood/ albo ograniczenie połączeń/min przez SSH do komputera?
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#11 2014-01-18 17:48:32
morfik - Cenzor wirtualnego świata
Re: Czy mogę mieć backdoor/podsłuch?
A przestaw te regułę od ssh wyżęj, zaraz po tej z related,established.
Looknij sobie tutaj https://wiki.archlinux.org/index.php/Simple_Stateful_Firewall tam jest dodatkowy łańcuch na reguły od usług, ułatwia on sporo pracę.
Ostatnio edytowany przez morfik (2014-01-18 17:50:14)
Offline
#12 2014-01-18 18:23:11
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Czy mogę mieć backdoor/podsłuch?
No Dzięki rzeczywiście teraz działa. Dobra zostawię ten "firewall" tak jak jest niedługo pewnie będę mieć jądro 3.13 to nie będę kombinować, bo i tak wszystko trzeba będzie dopasować do nftables.
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#13 2014-01-18 18:31:35
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Czy mogę mieć backdoor/podsłuch?
356
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:42:59)
Offline
#14 2014-01-18 18:39:51
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Czy mogę mieć backdoor/podsłuch?
Wgl tak w praktyce jeżeli nie mam żadnych wiszących usług na portach (serwerów, ssh itd...) potrzeba mi wogóle firewalla?
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#15 2014-01-18 18:53:07
morfik - Cenzor wirtualnego świata
#16 2014-01-19 13:02:19
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Czy mogę mieć backdoor/podsłuch?
Wgl tak w praktyce jeżeli nie mam żadnych wiszących usług na portach (serwerów, ssh itd...) potrzeba mi wogóle firewalla?[/quote]
na desktopie wystarcza nakładka ufw, której bardzo wygodnie się używa jeżeli chodzi o regułki i konfigurację, sprawa sprowadza się do wydania prostej komendy w terminalu, nie trzeba nic edytować i wertlować godzinami tutoriali do iptablesa;) automatycznie po odpaleniu ma ustawione odrzucanie wszystkich połączeń przychodzących i akceptowanie wszystkich połączeń wychodzących, resztę sobie konfigurujesz wg potrzeb.
Masz jeszcze bardziej rozbudowanego graficznego [url=http://jakilinux.org/uncategorized/guarddog-pies-na-strazy-komputera/]guarddoga[/url]...Ostatnio edytowany przez menel (2014-01-19 13:07:29)
Offline
#17 2014-01-19 14:35:23
fervi - Użytkownik
- fervi
- Użytkownik
- Zarejestrowany: 2010-03-14
Re: Czy mogę mieć backdoor/podsłuch?
[quote=morfik]debsums — ciekawy programik, zaraz poskanuje. xD[/quote]
debsums | grep FAILED
lub debsums -s
Inaczej przeleci i nie zobaczysz :P
Domyślnie nie skanuje konfiguracji (/etc), co jest dobrym posunięciem.
Mnie ciekawi czy da się oszukać - pewnie bierze bazę z dpkg i jakby ją podmienić, to by się zgubił
Fervi
Ostatnio edytowany przez fervi (2014-01-19 14:36:23)
Offline
#18 2014-01-19 15:46:35
P@blo - Nadworny matematyk
- P@blo
- Nadworny matematyk
- Skąd: Wrocław v Jasło
- Zarejestrowany: 2010-11-11
Re: Czy mogę mieć backdoor/podsłuch?
Tak czytam tutaj co się dzieje i chciałbym się coś dowiedzieć. Czy iptables ma być jakoś zastąpnione przez coś inne? Kilka razy miałem się wziąć za naukę tego jakże 'przejrzystego' programiku, jednakże zawsze polegałem z bólem... Mam nadzieje, ze ten następca będzie jakiś łatwiejszy w zrozumieniu tego co się pisze...
[tt]ThinkPadX220i
| Procesor: Intel(R) Core(TM) i3-2310M CPU @ 2.10GHz |
| Debian: sid | Arch: amd64 | Sound: alsa |
| No DE | WM: DWM | DM: .bash_profile | BIOS+MBR |[/tt]
Offline
#19 2014-01-19 16:25:01
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Czy mogę mieć backdoor/podsłuch?
W jądrze 3.13 ma być zastąpiony przez nftables. Patrzyłem na składnię "podobno" ma być łatwiejsza. Osobiście i tak średnio cokolwiek z tego rozumiałem.
Ja P@blo jako początkujący mam tak /etc/iptables/iptables.rules
Kod:
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p icmp -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -j REJECT --reject-with tcp-reset -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -j REJECT --reject-with icmp-proto-unreachable COMMIT
Z tego co się orientuje odrzuca połączenia przychodzące poza SSH, ale nie takie które samemu nawiązaliśmy. Chciałem też dodać jakieś zabezpiecznia przed skanowaniem portów itd...,ale wolę poczekać aż wejdzie nftables i przepisać wszystko na nową składnię. Uruchamiam via "systemctl start iptables", a z tego co widzę wywołuje to po prostu
Kod:
/usr/bin/iptables-restore /etc/iptables/iptables.rules
[quote=menel]na desktopie wystarcza nakładka ufw, której bardzo wygodnie się używa jeżeli chodzi o regułki i konfigurację, sprawa sprowadza się do wydania prostej komendy w terminalu, nie trzeba nic edytować i wertlować godzinami tutoriali do iptablesa;) automatycznie po odpaleniu ma ustawione odrzucanie wszystkich połączeń przychodzących i akceptowanie wszystkich połączeń wychodzących, resztę sobie konfigurujesz wg potrzeb.[/quote]
Wiesz z zasady trzymam się z daleka od takich nakładek. Zwłaszcza jeśli chodzi o konfigurację systemu/(czegoś poza /home) :P
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#20 2014-01-19 18:43:11
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Czy mogę mieć backdoor/podsłuch?
[quote="dominbik"]Chciałem też dodać jakieś zabezpiecznia przed skanowaniem portów[/quote]
Nie ma takie go czegoś, jedyne co możesz zrobić to zablokować zapytania ping, ale i tak nic Ci to nie da. Jeżeli jakiś port jest otwarty to taki nmap będzie go zawsze widział...
w zwykłym desku na codzień powinno to wyglądać tak:
Kod:
Nmap scan report for xxxx Host is up (0.0018s latency). All 1000 scanned ports on xxxx are closed
wtedy se moga skanować ile chcą;)
Ostatnio edytowany przez menel (2014-01-19 19:18:32)
Offline
#21 2014-01-19 20:13:14
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Czy mogę mieć backdoor/podsłuch?
Xtables-addons - cel STEAL - to cichsze to niż DROP, a działa tak samo.
Cel DELUDE - udaje, że wszystkie porty są otwarte, i rzekomo coś na nich słucha.
TARPIT - do zawieszania skanera portów, wiesza skaner na każdym porcie na jakieś 10 -20 minut,
CHAOS - dwa tryby, delude lub tarpit, ale przy kolejnych skanowaniach wybrana akcja odbywa się na losowo wybranych portach, zwłaszcza zw trybie delude to wychodzi pociesznie.
Przykład celu STEAL:
Kod:
iptables -I INPUT -d 127.0.2.4/32 -i lo -j STEAL
Kod:
nmap 127.0.2.4 Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-19 20:19 CET Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds
Ostatnio edytowany przez Jacekalex (2014-01-19 20:20:11)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#22 2014-01-20 18:07:47
drelbrown - Użytkownik
- drelbrown
- Użytkownik
- Zarejestrowany: 2013-01-07
Re: Czy mogę mieć backdoor/podsłuch?
[quote=Jacekalex][quote=menel]http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej[/quote]
Czemu ten tutek nie poprawiony?
Moduł state Netfiltera wyleciał, zastąpił go moduł conntrack.
W PF też od którejś wersji [b]keep state[/b] jest domyślną opcję we wszystkich regułach, i nie trzeba tego klepać osobno.[/quote]
Jak powinien wyglądać ten firewall dla [tt][b]iptables 1.4.21-1 0[/b][/tt] ?
Ostatnio edytowany przez drelbrown (2014-01-20 18:16:09)
Offline
#23 2014-01-20 19:06:39
P@blo - Nadworny matematyk
- P@blo
- Nadworny matematyk
- Skąd: Wrocław v Jasło
- Zarejestrowany: 2010-11-11
Re: Czy mogę mieć backdoor/podsłuch?
Heh, dziś wszedł nowy kern. Jakby, ktoś już miał prosty firewall to fajnie jakby tu coś umieści z jakimś opisem dla raczkujących (w ich imieniu dziękuję :) )
[tt]ThinkPadX220i
| Procesor: Intel(R) Core(TM) i3-2310M CPU @ 2.10GHz |
| Debian: sid | Arch: amd64 | Sound: alsa |
| No DE | WM: DWM | DM: .bash_profile | BIOS+MBR |[/tt]
Offline
#24 2014-01-20 22:30:19
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Czy mogę mieć backdoor/podsłuch?
[quote=drelbrown][quote=Jacekalex][quote=menel]http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej[/quote]
Czemu ten tutek nie poprawiony?
Moduł state Netfiltera wyleciał, zastąpił go moduł conntrack.
W PF też od którejś wersji [b]keep state[/b] jest domyślną opcję we wszystkich regułach, i nie trzeba tego klepać osobno.[/quote]
Jak powinien wyglądać ten firewall dla [tt][b]iptables 1.4.21-1 0[/b][/tt] ?[/quote]
Tak iptables:
http://forums.gentoo.org/viewtopic-p-7310366.html#7310366
PF może zostać, choć bez "keep state" też będzie działał jednakowo.
Ostatnio edytowany przez Jacekalex (2014-01-20 22:31:19)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#25 2014-01-22 14:11:24
drelbrown - Użytkownik
- drelbrown
- Użytkownik
- Zarejestrowany: 2013-01-07
Re: Czy mogę mieć backdoor/podsłuch?
[quote=Jacekalex][quote=drelbrown][quote=Jacekalex]Czemu ten tutek nie poprawiony?
Moduł state Netfiltera wyleciał, zastąpił go moduł conntrack.
W PF też od którejś wersji [b]keep state[/b] jest domyślną opcję we wszystkich regułach, i nie trzeba tego klepać osobno.[/quote]
Jak powinien wyglądać ten firewall dla [tt][b]iptables 1.4.21-1 0[/b][/tt] ?[/quote]
Tak iptables:
http://forums.gentoo.org/viewtopic-p-7310366.html#7310366
PF może zostać, choć bez "keep state" też będzie działał jednakowo.[/quote]
Podziękował[quote=P@blo]Heh, dziś wszedł nowy kern. Jakby, ktoś już miał prosty firewall to fajnie jakby tu coś umieści z jakimś opisem dla raczkujących (w ich imieniu dziękuję :) )[/quote]
+1
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00042 | SET CHARSET latin2 |
| 0.00009 | SET NAMES latin2 |
| 0.00255 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.175.66' WHERE u.id=1 |
| 0.00167 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.175.66', 1733056494) |
| 0.00061 | SELECT * FROM punbb_online WHERE logged<1733056194 |
| 0.00164 | DELETE FROM punbb_online WHERE ident='18.117.188.105' |
| 0.00149 | DELETE FROM punbb_online WHERE ident='18.218.75.58' |
| 0.00099 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25012 AND t.moved_to IS NULL |
| 0.00015 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00635 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25012 ORDER BY p.id LIMIT 0,25 |
| 0.00173 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25012 |
| Total query time: 0.01769 s | |