Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-12-28 10:36:35
shreku - 
Użytkownik
jak zincludowac zawartość pliku do iptables?
nowe pytanie bez zakladania tematu
jak dołączyć do iptables zmienna ktora zmienia sie dynamiczne w jakims pliku na dysku? chodzi mi o adres ip ktory jest zapisywany przez maly skryp w osobnym pliku
[qupte]witam, zastosowalem sie do arta biexi bodajrze stworzylem firewalla
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# zmienne do przekierowan:
int_in=eth0
lan_in=eth1
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie na laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --dport 22 -j ACCEPT
# blokada ssh na 5 min po 3 nieudanych logowaniach
iptables -I INPUT -i $int_in -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -i $int_in -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
[/quote]
interfaces
eth0 Link encap:Ethernet HWaddr 00:E0:4D:4A:B7:DE
inet addr:192.168.0.6 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4dff:fe4a:b7de/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5223 errors:0 dropped:0 overruns:0 frame:0
TX packets:3394 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5927768 (5.6 MiB) TX bytes:423494 (413.5 KiB)
Interrupt:169 Base address:0xb000
eth1 Link encap:Ethernet HWaddr 00:14:2A:DB:A9:7A
inet addr:192.168.1.6 Bcast:192.168.1.255 Mask:255.255.248.0
inet6 addr: fe80::214:2aff:fedb:a97a/64 Scope:Link
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:1912 errors:0 dropped:0 overruns:0 frame:0
TX packets:3187 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:135950 (132.7 KiB) TX bytes:757061 (739.3 KiB)
Interrupt:217 Base address:0xec00
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1232 (1.2 KiB) TX bytes:1232 (1.2 KiB)
[/quote]
a to pokazuje iptraf przy wywoływaniu pingu z mojego kompa
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (234 bytes) from 192.168.1.2:138 to 192.168.7.255:138 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (202 bytes) from 192.168.1.2:138 to 192.168.7.255:138 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 │
│ UDP (78 bytes) from 192.168.1.2:137 to 192.168.7.255:137 on eth1 [/quote] czy da rade cos z tym zrobic? albo co gdzie zle zrobilem?
skad sie bierze adres 192.168.7.255:137 ??[/qupte][/code]Offline
#2 2006-12-28 13:20:45
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: jak zincludowac zawartość pliku do iptables?
NIe chce mi się liczyć ale moim zdaniem zmień maską na 255.255.255.0 na eth1
Offline
#3 2006-12-28 14:03:53
shreku - Użytkownik
#4 2006-12-28 17:11:56
Lorenzo - Moderator
- Lorenzo
- Moderator
- Zarejestrowany: 2005-12-23
Re: jak zincludowac zawartość pliku do iptables?
w skrypcie możesz przypisac jakąs wartość z pliku do zmiennej poprzez
Kod:
VARIABLE=`cat plik_ze_zmienna`
(mozna oczywiście kombinowac z petlami, grepem, cutem, etc)
Ale żeby na bierząco sprawdzał i aktualizował...hmm
Mozna by uzyc cron'a - zapisując i porównując sumy kontrolne pliku ze zmienna i w razie różnicy restart skryptu fejrłola.
Offline
#5 2006-12-28 17:40:37
shreku - Użytkownik
Re: jak zincludowac zawartość pliku do iptables?
bo chcialem zrobic 1 pakietowego pinga zapisac to w plik <temp potem za pomoca finda i grepa zapisac sam ip 83.*.*.* do kolejnego pliku < temp1 i tylko jak porownywac sumy kontrolne? i jak wykorzystac tego grepa i finda do wydrukowania wylacznie tego adresu 83.*.*.* bo kombinuje ale cos mi nie idzie ;/
Offline
#6 2006-12-28 19:52:16
BiExi - matka przelozona
Re: jak zincludowac zawartość pliku do iptables?
Problem tkwi w podsieciach nachodza na siebie
eth0 Link encap:Ethernet HWaddr 00:E0:4D:4A:B7:DE
inet addr:192.168.0.6 Bcast:192.168.0.255 Mask:255.255.255.0 [/quote]
eth1 Link encap:Ethernet HWaddr 00:14:2A:DB:A9:7A
inet addr:192.168.1.6 Bcast:192.168.1.255 Mask:255.255.248.0 [/quote]
ktora z podsieci jes twoja prywatna a ktora jest od twojego isp?
[url=http://dug.net.pl][b]DUG[/b][/url]Offline
#7 2006-12-28 20:12:58
shreku - Użytkownik
Re: jak zincludowac zawartość pliku do iptables?
generalnie to jest w tej chwili u mnie w domu zatem isp=>routerlinksys=>router debian=> moj pc a to dlatego ze isp sortuje po macach dostep do sieci... .a pozatym tam gdzie router bedzie stal bedzie umieszczony w dmz'cie i bedzie podobna topologia... neo dsl => jakis tam router =dmz=>reouter debian=> siec wew.
to co polecasz ?? generalnie po podpieciu eth0 bedzie pewnie na 10.0.0.0 a wew coby zmian nie robic na 192.168.0.1 tylko teraz to tak wyglada jak w domu mam....
i co z tymi zmiennymi ?
Offline
#8 2006-12-28 23:33:37
BiExi - matka przelozona
#9 2006-12-29 09:57:59
shreku - Użytkownik
Re: jak zincludowac zawartość pliku do iptables?
dobrze, a jak zabrac sie do pomyslu ze sprawdzaniem adresu ip?? bo iptables zapewne tylko przy wlaczaniu danej regułki przekłada host na adres ip pod warunkiem ze go dopisze do hosts...
Offline
#10 2006-12-29 12:59:51
BiExi - matka przelozona
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00008 | SET NAMES latin2 |
| 0.00188 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.54.199' WHERE u.id=1 |
| 0.00082 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.225.54.199', 1738464960) |
| 0.00032 | SELECT * FROM punbb_online WHERE logged<1738464660 |
| 0.00095 | DELETE FROM punbb_online WHERE ident='3.145.106.176' |
| 0.00089 | SELECT topic_id FROM punbb_posts WHERE id=48116 |
| 0.00012 | SELECT id FROM punbb_posts WHERE topic_id=6289 ORDER BY posted |
| 0.00060 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=6289 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00151 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=6289 ORDER BY p.id LIMIT 0,25 |
| 0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=6289 |
| Total query time: 0.00814 s | |