Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-11-20 01:31:16
puchatek007 - 
Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Firewall + HTB
Witajcie.
Mam duuuuży problem.
Jest taka sytuacja i jej narazie nie moge zmienić.
Mam sieć na DSL 1/256. Na nim jedyne 80 osób :(.
Tak wiem, koszmar ale naarzie nic z tym nie zrobie, dopiero w styczniu.
Postawiony serwer na debianie.
Napsiałem firewalla i regułki HTB.
Moja prośba to luknijcie na nie i napiszcie czy są OK, co by zmienić żeby było lepiej.
Oto skrypty:
[url]http://orlinet.internetdsl.pl/firewall.txt[/url]
[url]http://orlinet.internetdsl.pl/htb.txt[/url]
THX
...::: Lucky Look :::...
Offline
#2 2005-11-20 01:57:43
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne
to pierwsze moje spostrzeżenie :)
Zarejestrowany użytkownik Linuksa #361563
Offline
#3 2005-11-20 06:58:32
zlyZwierz - Moderator
Re: Firewall + HTB
hmm czyli wg proporcji na moim obecnym laczu moge pociagnac 800 osób , a po jutrze 960 - miło słyszec [;
oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie (20*160 > 2048) - braknie łącza
uploadu chyba nie ograniczasz ..
ach ci "prowajderzy" i ich radjufki ;]
a potem ludzie słyszą internet radiowy i kręcą nosem
PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#4 2005-11-20 10:36:06
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne
to pierwsze moje spostrzeżenie :)[/quote]
Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).
oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie (20*160 > 2048) - braknie łącza
uploadu chyba nie ograniczasz ..
PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach[/quote]
Napis zmi jakie najlepiej dać rate. Jeżeli suma poszczególnych ma być <= rate łącza no to wychodzi po ok 10kbit :(.
A może dało by się jakoś inaczej to zrobić, np poograniczać usługi do xkbit (w tym zakichane p2p).
No włąśnie na uploadzie mi najbardziej zależało. Jego jakoś przyciąć każdemu, na DSL wystarczy wysyłąć poczte na max i sieć pada :(, dlatego chciałem każdemu dać max 7kb/s na upload (a na p2p najlepiej 1kb/s ale niewiem jak wyodrębnić p2p :( )
Wiem że wpisywanie tych poleceń to koszmar :D. Do firewalla mam skrypt co mi to wszystko tworzy, do htb jeszcze nie, ale też będzie jak zacznie to działać.
...::: Lucky Look :::...Offline
#5 2005-11-20 11:16:45
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).[/quote]
polityke INPUT i FORWARD zmień na DROP a w częsci STOP twojego skryptu dopisz
iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p udp --dport 22 -j ACCEPT
edit:
wpisy oczywiści po regułach czyszczących
Zarejestrowany użytkownik Linuksa #361563
Offline
#6 2005-11-20 11:46:06
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
Wprowadzając te zmiany net zamarl w sieci :(
Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??
...::: Lucky Look :::...
Offline
#7 2005-11-20 11:53:06
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
Wprowadzając te zmiany net zamarl w sieci :(
Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??[/quote]
no to jasne że zamarł, chciałeś tylko ssh...
Zarejestrowany użytkownik Linuksa #361563
Offline
#8 2005-11-20 11:57:58
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
hehe tak ale to po stopie. Ale jak dałem start to też neta nie było :( (to przez te DROP na poczatku)
PS. Co mam dodać do firewalla żebym z serwera mógł puszczać pingi w net, w sieć moge a np na wp nie :(.
...::: Lucky Look :::...
Offline
#9 2005-11-20 12:39:34
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
dobry opis
http://www.dug.net.pl/texty/masq.php
Zarejestrowany użytkownik Linuksa #361563
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00003 | SET NAMES latin2 |
| 0.00097 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.109.244' WHERE u.id=1 |
| 0.00078 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.109.244', 1732689730) |
| 0.00045 | SELECT * FROM punbb_online WHERE logged<1732689430 |
| 0.00042 | SELECT topic_id FROM punbb_posts WHERE id=18439 |
| 0.00006 | SELECT id FROM punbb_posts WHERE topic_id=2276 ORDER BY posted |
| 0.00055 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=2276 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00083 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=2276 ORDER BY p.id LIMIT 0,25 |
| 0.00074 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=2276 |
| Total query time: 0.00497 s | |