Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.
2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1
3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?
Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.
Z gory dzieki za pomoc.
Pozdr.
Offline
1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.[/quote]
ta reguła POZWALA WYJŚĆ pakietom UDP przysłanym z interfejsu ETH1, których port źródłowy to 67 a port docelowy to 68.
Ta reguła nie zmienia portów ani nie wysyła nic na ETH1
2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1
[/quote]
ta reguła pozwala WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH0 na adres 255.255.255.255
(jest to adres rozgłoszeniowy sieci - broadcast), których porty docelowe to 67 lub 68
3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?
[/quote]
ta reguła pozwala na WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH1 których port źródłowy to 68 a docelowy to 67
Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.
[/quote]
to zależy w którym miejscu startuje firewall, zwykle jest to PO konfiguracji
sieci, więc firewall nic nie zablokuje bo sieć jest już skonfigurowana przez DHCP.
Problem może wystąpić dopiero po wygaśnięciu dzierżawy adresu
bo nie będzie można jej przedłużyć. Oczywiście te regułki mają
jakikolwiek sens tylko w połączeniu z innymi np. iptables -P INPUT DROP
Pozdrawiam
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."Offline
bardzo dziekuje
spotkalem sie z doma sposobami powiazania ip z mac
iptables -A PREROUTING -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -i eth1 -j ACCEPT
iptables -A FORWARD -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
na czym polega roznica ?
nie rozumiem tez dlaczego w wiekszosci skryptow pojawia sie taka regulka:
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
skoro z interfejsu lo nie ma prawa wyjsc zaden pakiet ?
Offline
łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.
Co do interfejsu lo to moim zdaniem te wpisy nie mają sensu,
lo wpuszczamy na łańcuchu input.
Offline
łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.[/quote]
Czyli Prerouting dziala na tej samej zasadzie, jak przypisanie do /etc/ethers
IP do MAC i blokuje dostep do serwera tak, ze u klientow nie wstaje nawet TCP/IP - nie maja dostepu do samej sieci z nie zgadzajacymi sie adresami ?
Offline
tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko
Offline
tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko[/quote]
hmm ... zastanawiam sie czy to ma jakikolwiek sens, gdyz i tak trzeba powtorzyc regulki "ip+mac" w filtrze: FORWARD :| (FORWARD NA DROP)
Offline
zasadniczo PREROUTING używa się do maskarady, port forwardingu itp a nie do typowego firewalla.
Offline
zasadniczo PREROUTING używa się do maskarady, ....[/quote]
?
Zarejestrowany użytkownik Linuksa #361563
Offline
skrót myślowy ;-)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00144 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.69.39' WHERE u.id=1 |
0.00094 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.69.39', 1732851720) |
0.00041 | SELECT * FROM punbb_online WHERE logged<1732851420 |
0.00051 | SELECT topic_id FROM punbb_posts WHERE id=61249 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=7965 ORDER BY posted |
0.00041 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=7965 AND t.moved_to IS NULL |
0.00031 | SELECT search_for, replace_with FROM punbb_censoring |
0.00058 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=7965 ORDER BY p.id LIMIT 0,25 |
0.00109 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=7965 |
Total query time: 0.00589 s |