Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
#1 2006-12-10 22:31:27
shreku - 
Użytkownik
iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
witam jestem w trakcie pisanie firewalla na router do pewnej firmy i mam problem, przeszperalem google, pdf'y o iptables i niegdzie nie moge znalezdz jak zrobic zeby pakiet przychodzacy byl filtrowany po domenie nie po adresie ip czy mac'u... czy moglby mi ktos skrobnac cos takiego jak to ma wygladac?
bede wdzieczny
Offline
#2 2006-12-11 19:09:07
bercik - Moderator Mamut
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
pakiety IP same w sobie nie maja informacji o domenie (DNS jest nie jako nakladka na system adresacji IP) ... co prawda ICMP oferuje zapytanie o domene wiec mozna by to jakos wykozystac (ale nie wiem dokladnie jak) ... najprosciej jest filtrowac po wszystkich ip domeny ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#3 2006-12-11 21:54:01
shreku - Użytkownik
#4 2006-12-12 17:30:35
bercik - Moderator Mamut
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
to moze wycinaj zapytania dns o te domeny ... np. jedynym dostepnym z sieci dns jest twoj a on podzywa sie pod te domeny zwracajac jakies ip ktore blokujesz ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#5 2006-12-12 17:52:48
shreku - Użytkownik
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
a czy to nie jest przypadkiem tak ze gdy mu wpisze domene to przy zapytaniu iptables o polaczenie to widzialem u znajomego mial powpisywane adresy ip do skryptu a przy listowaniu zamienialo mu na hosty... zatem jakbym mu wpisal hosta do standardowej regulki na ip to ma sznase pujsc?
generalnie chodzi mi o to czy to bedzie działac?
iptables -A PREROUTING -t nat -sport 1434 -s domena.no-ip.info -p tcp --dport 1434 -j DNAT --to 10.11.12.6[/quote]
Offline
#6 2006-12-12 18:08:32
BialyS - Członek DUG
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
zapewne mial /etc/hosts uzupelniony, wtedy mozna w iptables wpisywac nazwy hostow
http://annabielawska.pl Biuro Rachunkowe | http://ranking.cebr.pl Największy w sieci ranking biur rachunkowych
Offline
#7 2006-12-12 18:37:48
shreku - Użytkownik
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
nie.. mial gdzies wrzucony plik z ipikami podrzucony do zmiennych do iptables i wczytujac / listujac iptables zamienialo odrazu na hosty wszystko.. nawet sam sie zdziwil...
chyba cos namotalem.. sorx dostalem frafment firewalla od niego
# Ponizej plik z lista napastnikow, ktory nalezy uzupelniac za pomoca
# narzedzia Cracker Trap - pamietac o instalacji !!!
. /etc/rc.d/fw.trouble
# Wprzypadku najczesciej atakowanych serwisow blokowany jest zarowno protokol
# TCP, jak i UDP
# Nalezy pamietac, ze wszystkie porty UDP moga zostac wykorzystane
# w celu dokonania ataku typu DoS na inny system
# Wlasnie z tego powodu blokowane sa nawet niegrozne z pozoru serwisy UDP.
# Port 53 TCO jest obslugiwany osobno, poniewaz niektore systemy wykorzystuja
# usluge Zone Transfer
# Powszechnie atakowane porty:
# 0 to tcpmux; podatnosc na ataki w systemach SGI
# 1 to powszechnie atakowany port
# 13 to daytime
# 98 to Linuxconf
# 111 to sunrpc (portmap)
# 137:139, 445 to Microsoft
# 161:162 to SNMP
# Squid flotilla: 3128, 8000, 8008, 8080
# 1214 to Morpheus lub KaZaA
# 2049 to NFS
# 3049 to bardzo grozny kon trojanski Linuksa, mozna go pomylic z NFS
# Powszechnie atakowane porty: 1999, 4329, 6346
# Popularne konie trojanskie 12345 65535
# Dla SAMBY nalezy jednak niestety wpierw odkomentowac ponizsze
# cztery reguly
#$IPT -A INPUT -p tcp -s $INTNET --dport 137:139 -j ACCEPT
#$IPT -A OUTPUT -p tcp -d $INTNET --dport 137:139 -j ACCEPT
#$IPT -A INPUT -p udp -s $INTNET --dport 137:139 -j ACCEPT
#$IPT -A OUTPUT -p udp -d $INTNET --dport 137:139 -j ACCEPT
COMBLOCK="0:1 13 98 111 137:139 161:162 445 1214 1999 2049 3049 4329 6346 3128 8000 8008 8080 12345 65535"
[/quote]
to nei jest taki poprostu plik...;/ coz kombinuje dalej
Offline
#8 2006-12-20 19:01:06
jezoo - Dzięcioł
- jezoo
- Dzięcioł
- Skąd: Z lasu
- Zarejestrowany: 2005-09-02
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
@shreku czyzbys mial uno problemo z M$ SQL Server?? :>
[img]http://intershock.pl/images/icons/freebsd.jpg[/img] [img]http://www.the-eleven.com/site_media/static/img/postgresql_powered.png[/img] [img]http://www.wwgmc.com/images/badge_php.gif[/img]
LRU #480459
Offline
#9 2006-12-22 21:34:34
shreku - Użytkownik
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
no jakoś tak bo serwer w pracy pracuje na ms szukalem odpowiednika i nie moglem znalezdz po czym zrezygnowałem ;/ juz raz sam z siebie mssql sie wysypal... w ms brakuje mi crona ;]
czy ktos wie na jakiej zasadzie iptables tlumaczy domeny na ip? podczas zapytania? czy tylko przy starcie firewalla? czy sam co jakis czas? bo nie wiem czy pisac jakis mini pseudo skrypt ktory bedzie kasowal jeden lancuch co 2 minuty naprzyklad a potem go ponownie wpisywał czy jak... ;/
Offline
#10 2006-12-25 22:25:56
BiExi - matka przelozona
Re: iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
czy ktos wie na jakiej zasadzie iptables tlumaczy domeny na ip? podczas zapytania? czy tylko przy starcie firewalla? czy sam co jakis czas? bo nie wiem czy pisac jakis mini pseudo skrypt ktory bedzie kasowal jeden lancuch co 2 minuty naprzyklad a potem go ponownie wpisywał czy jak... ;/[/quote]
- iptables niczego nie tlumaczy
- rozwiazywanie nazw (czyli to tlumaczenie) realizuje server dns do ktrego zostaje wyslane zapytanie
Co chesz osiagnac?
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » iptables -s domena -dport 1433 -- jak zrobic zeby dzialalo
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00104 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.198.69' WHERE u.id=1 |
| 0.00082 | UPDATE punbb_online SET logged=1738456708 WHERE ident='3.15.198.69' |
| 0.00047 | SELECT * FROM punbb_online WHERE logged<1738456408 |
| 0.00057 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=6094 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00179 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=6094 ORDER BY p.id LIMIT 0,25 |
| 0.00071 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=6094 |
| Total query time: 0.0056 s | |