Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-05-14 00:31:17

  aru - Użytkownik

aru
Użytkownik
Zarejestrowany: 2007-05-13

dhcp i iptables

1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.

2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1

3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?

Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.

Z gory dzieki za pomoc.
Pozdr.

Offline

 

#2  2007-05-14 12:04:18

  el_pilar - Użytkownik

el_pilar
Użytkownik
Skąd: Bydgoszcz
Zarejestrowany: 2006-04-05

Re: dhcp i iptables

1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.[/quote]
ta reguła POZWALA WYJŚĆ pakietom UDP przysłanym z interfejsu ETH1, których port źródłowy to 67 a port docelowy to 68.
Ta reguła nie zmienia portów ani nie wysyła nic na ETH1


2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1
[/quote]
ta reguła pozwala WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH0 na adres 255.255.255.255
(jest to adres rozgłoszeniowy sieci - broadcast), których porty docelowe to 67 lub 68


3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?
[/quote]
ta reguła pozwala na WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH1 których port źródłowy to 68 a docelowy to 67


Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.
[/quote]

to zależy w którym miejscu startuje firewall, zwykle jest to PO konfiguracji
sieci, więc firewall nic nie zablokuje bo sieć jest już skonfigurowana przez DHCP.
Problem może wystąpić dopiero po wygaśnięciu dzierżawy adresu
bo nie będzie można jej przedłużyć. Oczywiście te regułki mają
jakikolwiek sens tylko w połączeniu z innymi np. iptables -P INPUT DROP

Pozdrawiam


"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."

Offline

 

#3  2007-05-14 13:17:59

  aru - Użytkownik

aru
Użytkownik
Zarejestrowany: 2007-05-13

Re: dhcp i iptables

bardzo dziekuje

spotkalem sie z doma sposobami powiazania ip z mac

iptables -A PREROUTING -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -i eth1 -j ACCEPT

iptables -A FORWARD -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

na czym polega roznica ?

nie rozumiem tez dlaczego w wiekszosci skryptow pojawia sie taka regulka:

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

skoro z interfejsu lo nie ma prawa wyjsc zaden pakiet ?

Offline

 

#4  2007-05-14 14:11:46

  el_pilar - Użytkownik

el_pilar
Użytkownik
Skąd: Bydgoszcz
Zarejestrowany: 2006-04-05

Re: dhcp i iptables

łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.

Co do interfejsu lo to moim zdaniem te wpisy nie mają sensu,
lo wpuszczamy na łańcuchu input.


"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."

Offline

 

#5  2007-05-15 11:17:13

  aru - Użytkownik

aru
Użytkownik
Zarejestrowany: 2007-05-13

Re: dhcp i iptables

łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.[/quote]
Czyli Prerouting dziala na tej samej zasadzie, jak przypisanie do /etc/ethers
IP do MAC i blokuje dostep do serwera tak, ze u klientow nie wstaje nawet TCP/IP - nie maja dostepu do samej sieci z nie zgadzajacymi sie adresami ?

Offline

 

#6  2007-05-15 20:20:36

  el_pilar - Użytkownik

el_pilar
Użytkownik
Skąd: Bydgoszcz
Zarejestrowany: 2006-04-05

Re: dhcp i iptables

tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko


"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."

Offline

 

#7  2007-05-20 01:04:34

  aru - Użytkownik

aru
Użytkownik
Zarejestrowany: 2007-05-13

Re: dhcp i iptables

tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko[/quote]


hmm ... zastanawiam sie czy to ma jakikolwiek sens, gdyz i tak trzeba powtorzyc regulki "ip+mac" w filtrze: FORWARD :| (FORWARD NA DROP)

Offline

 

#8  2007-05-21 07:34:08

  el_pilar - Użytkownik

el_pilar
Użytkownik
Skąd: Bydgoszcz
Zarejestrowany: 2006-04-05

Re: dhcp i iptables

zasadniczo PREROUTING używa się do maskarady, port forwardingu itp a nie do typowego firewalla.


"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."

Offline

 

#9  2007-05-21 11:33:26

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: dhcp i iptables

zasadniczo PREROUTING używa się do maskarady, ....[/quote]

?


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#10  2007-05-21 14:37:15

  el_pilar - Użytkownik

el_pilar
Użytkownik
Skąd: Bydgoszcz
Zarejestrowany: 2006-04-05

Re: dhcp i iptables

skrót myślowy ;-)


"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00138 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.67.248' WHERE u.id=1
0.00068 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.129.67.248', 1732851367)
0.00034 SELECT * FROM punbb_online WHERE logged<1732851067
0.00072 SELECT topic_id FROM punbb_posts WHERE id=61167
0.00146 SELECT id FROM punbb_posts WHERE topic_id=7965 ORDER BY posted
0.00069 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7965 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00089 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7965 ORDER BY p.id LIMIT 0,25
0.00084 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7965
Total query time: 0.00719 s