Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-03-06 10:58:57

  Sokrates - Użytkownik

Sokrates
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2006-08-29

Konfiguracja kerenla z pod Image dla Iptables

Instaluje kernel przez kernel_image, ale teraz chcialem pododawac pare opcji w zwiazku z firewallem (iptables), czy moge i jak, otworzyc kernel do edycji aby wprowadzic pare zmian i zapisac to spwrotem, aby dzialal z nowymi ustawieniami...?
Czy jest to mozliwe - przy image, i czy bede konfigurowal caly kernel od poczatku , czy opcje jakie mial poprzednio kernel zostana a te co zmienie , beda zmienione?


Pozdrawiam
            Sokrates

Offline

 

#2  2007-03-08 13:30:40

  Sokrates - Użytkownik

Sokrates
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2006-08-29

Re: Konfiguracja kerenla z pod Image dla Iptables

Widze ze jest problem z odpowiedzia na to pytanie , to moze jak je rozwine i przedstawie od podstaw problem, moze ktos sie znajdzie kto da mi satysfakcjonujaca odpowiedz... :-)

A wiec tak, uruchomilem firewalla (iptables),
i wyglada to tak, jak by nie dzialala mi komenda "state"

Kod:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

tak przynajmniej wydaje mi sie patrzac na logi z firewalla, ale czy jakis pewniejszy sposob sprawdzenia czy "ESTABLISHED,RELATED" dziala poprawnie , chodzi przede wszystkim o UDP i serwer DNS... ale o inne tez uslugi.

Wyczytalem w necie zeby komenda "state" dzialala poprawnie musi byc w kernelu ustawiony

Kod:

<*> Connection state match support

Poniewaz instalowalem kernel z "linux-image" to nie zbytnio wiedzialem jak sie do niego dobrac i ustawic tam ta opcje, z tad moje pytanie tu na forum...

,ale doszlem ze firewall laduje (chyba dynamicznie moduly) pytanie czy jest tam odpowiadajacy za opcje "state"

Kod:

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

Bo przy wylaczonym firewallu jak wpisze lsmod, wyswietla mi:

Kod:

Module                  Size  Used by
ipt_REJECT              5568  0
ipt_LOG                 6464  0
ipt_recent              8784  0
xt_tcpudp               3456  0
xt_limit                3072  0
xt_state                2560  0
iptable_filter          3392  0
ip_nat_ftp              3648  0
ip_nat                 17260  1 ip_nat_ftp
ip_conntrack_ftp        8112  1 ip_nat_ftp
ip_conntrack           49504  4 xt_state,ip_nat_ftp,ip_nat,ip_conntrack_ftp
nfnetlink               7128  2 ip_nat,ip_conntrack
ip_tables              13412  1 iptable_filter
x_tables               13636  8 xt_mac,ipt_REJECT,ipt_LOG,ipt_recent,xt_tcpudp,x
t_limit,xt_state,ip_tables
ipv6                  228064  26

a przy wlaczonym firewallu wyswietla mi:

Kod:

Module                  Size  Used by
ipt_REJECT              5568  2
ipt_LOG                 6464  2
ipt_recent              8784  2
xt_tcpudp               3456  62
xt_limit                3072  4
xt_state                2560  45
iptable_filter          3392  1
ip_nat_ftp              3648  0
ip_nat                 17260  1 ip_nat_ftp
ip_conntrack_ftp        8112  1 ip_nat_ftp
ip_conntrack           49504  4 xt_state,ip_nat_ftp,ip_nat,ip_conntrack_ftp
nfnetlink               7128  2 ip_nat,ip_conntrack
ip_tables              13412  1 iptable_filter
x_tables               13636  8 xt_mac,ipt_REJECT,ipt_LOG,ipt_recent,xt_tcpudp,x
t_limit,xt_state,ip_tables
ipv6                  228064  26

Wiec moze mozna jakos zaladowac modul ze skryptu firewalla aby dzialala komenda "state" z pakietami "ESTABLISHED,RELATED" (co ciekawe pakiety NEW dzialaja), albo pomuzcie dobrac mi sie do kernela aby ta wymagana opcje ustawic (jesli juz nie jest ustawiona?).


Pozdrawiam
            Sokrates

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.014 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00008 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00068 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.102.0' WHERE u.id=1
0.00106 UPDATE punbb_online SET logged=1732537744 WHERE ident='18.221.102.0'
0.00075 SELECT * FROM punbb_online WHERE logged<1732537444
0.00095 DELETE FROM punbb_online WHERE ident='18.227.209.101'
0.00126 DELETE FROM punbb_online WHERE ident='3.135.208.189'
0.00041 SELECT topic_id FROM punbb_posts WHERE id=54265
0.00066 SELECT id FROM punbb_posts WHERE topic_id=7108 ORDER BY posted
0.00072 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7108 AND t.moved_to IS NULL
0.00354 SELECT search_for, replace_with FROM punbb_censoring
0.00109 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7108 ORDER BY p.id LIMIT 0,25
0.00086 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7108
Total query time: 0.0121 s