Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2005-11-20 01:31:16

  puchatek007 - Użytkownik

puchatek007
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2005-11-07

Firewall + HTB

Witajcie.
Mam duuuuży problem.
Jest taka sytuacja i jej narazie nie moge zmienić.
Mam sieć na DSL 1/256. Na nim jedyne 80 osób :(.
Tak wiem, koszmar ale naarzie nic z tym nie zrobie, dopiero w styczniu.
Postawiony serwer na debianie.
Napsiałem firewalla i regułki HTB.
Moja prośba to luknijcie na nie i napiszcie czy są OK, co by zmienić żeby było lepiej.

Oto skrypty:

[url]http://orlinet.internetdsl.pl/firewall.txt[/url]
[url]http://orlinet.internetdsl.pl/htb.txt[/url]

THX


...::: Lucky Look :::...

Offline

 

#2  2005-11-20 01:57:43

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Firewall + HTB

# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne

to pierwsze moje spostrzeżenie :)


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#3  2005-11-20 06:58:32

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Firewall + HTB

hmm czyli wg proporcji na moim obecnym laczu moge pociagnac 800 osób , a po jutrze 960 - miło słyszec [;


oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie  (20*160 > 2048) - braknie łącza

uploadu chyba nie ograniczasz ..

ach ci "prowajderzy" i ich radjufki ;]

a potem ludzie słyszą internet radiowy i kręcą nosem

PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#4  2005-11-20 10:36:06

  puchatek007 - Użytkownik

puchatek007
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2005-11-07

Re: Firewall + HTB

# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne

to pierwsze moje spostrzeżenie :)[/quote]

Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).



oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie  (20*160 > 2048) - braknie łącza

uploadu chyba nie ograniczasz ..

PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach[/quote]

Napis zmi jakie najlepiej dać rate. Jeżeli suma poszczególnych ma być <= rate łącza no to wychodzi po ok 10kbit :(.
A może dało by się jakoś inaczej to zrobić, np poograniczać usługi do xkbit (w tym zakichane p2p).

No włąśnie na uploadzie mi najbardziej zależało. Jego jakoś przyciąć każdemu, na DSL wystarczy wysyłąć poczte na max i sieć pada :(, dlatego chciałem każdemu dać max 7kb/s na upload (a na p2p najlepiej 1kb/s ale niewiem jak wyodrębnić p2p :( )

Wiem że wpisywanie tych poleceń to koszmar :D. Do firewalla mam skrypt co mi to wszystko tworzy, do htb jeszcze nie, ale też będzie jak zacznie to działać.


...::: Lucky Look :::...

Offline

 

#5  2005-11-20 11:16:45

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Firewall + HTB


Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).[/quote]

polityke INPUT i FORWARD zmień na DROP a w częsci STOP twojego skryptu dopisz

iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p udp --dport 22 -j ACCEPT

edit:
wpisy oczywiści po regułach czyszczących


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#6  2005-11-20 11:46:06

  puchatek007 - Użytkownik

puchatek007
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2005-11-07

Re: Firewall + HTB

Wprowadzając te zmiany net zamarl w sieci :(

Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??


...::: Lucky Look :::...

Offline

 

#7  2005-11-20 11:53:06

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Firewall + HTB

Wprowadzając te zmiany net zamarl w sieci :(

Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??[/quote]

no to jasne że zamarł, chciałeś tylko ssh...


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#8  2005-11-20 11:57:58

  puchatek007 - Użytkownik

puchatek007
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2005-11-07

Re: Firewall + HTB

hehe tak ale to po stopie. Ale jak dałem start to też neta nie było :( (to przez te DROP na poczatku)

PS. Co mam dodać do firewalla żebym z serwera mógł puszczać pingi w net, w sieć moge a np na wp nie :(.


...::: Lucky Look :::...

Offline

 

#9  2005-11-20 12:39:34

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: Firewall + HTB

dobry opis
http://www.dug.net.pl/texty/masq.php


Zarejestrowany użytkownik Linuksa #361563

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00009 SET NAMES latin2
0.00091 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.200.114' WHERE u.id=1
0.00217 UPDATE punbb_online SET logged=1732961793 WHERE ident='18.191.200.114'
0.00044 SELECT * FROM punbb_online WHERE logged<1732961493
0.00047 SELECT topic_id FROM punbb_posts WHERE id=18433
0.00004 SELECT id FROM punbb_posts WHERE topic_id=2276 ORDER BY posted
0.00049 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=2276 AND t.moved_to IS NULL
0.00014 SELECT search_for, replace_with FROM punbb_censoring
0.00177 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=2276 ORDER BY p.id LIMIT 0,25
0.00097 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=2276
Total query time: 0.00761 s