Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Cum sa elimini urmele de acnee?

Wc Geberit

Routere detinute in trecut si in ...

Teii din fața casei
 E-Mail in serie prin Excel si Out...

Modul alimentare rulou/jaluzea ex...

Recuperare fișiere dupa form...

Aplicatii stress test RAM
 Asigurare auto hibrid

Asus B550M - PC-ul nu porneste di...

Tzanca Uraganu - Inconjurat de Fe...

explicatie montaj breadboard
 3 Doors Down - Kryptonite

Semnalizati cand virati pe un dru...

Succesiune - mostenire apartament...

Donez Siofor de 1000mg ( diabet t...
 

Slackware iptables

- - - - -
  • Please log in to reply
8 replies to this topic

#1
nexpo3

nexpo3

    New Member

  • Grup: Members
  • Posts: 4
  • Înscris: 03.09.2006
Am si eu o problema destul de mare(ptr mine nu ptr voi:D).Am instalat Slackware si am bagat pe el verlihub-u si apache.Problema e k eu fol hostu cu iptables-u off.Euvreau sa setez iptables-u incat sa aiba o securitate macar acceptabila da sa aiba rule la verlihub si la apache.Am facut rost de ni9ste comenzi pe care le-am transformat in script numai k,pb apare abia acum.Dupa ce il rulez am tot traficul blocat.Daca putetzi sa ma ajutatzi si pe mine v-as fi foarte recunoscator.Scriptul cu pb este urmatoru:

#!/bin/sh

echo "Flushing firewall rulles..."
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "Done"
echo "Loading firewall rulles..."
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 102400 > /proc/sys/net/ipv4/ip_conntrack_max
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -s 82.78.144.117 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
echo "Done"
echo "Flushing firewall rulles..."
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "Done"
echo "Loading firewall rulles..."
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 102400 > /proc/sys/net/ipv4/ip_conntrack_max
iptables -A INPUT -s 82.78.144.117 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
iptables -A INPUT -p udp -j DROP
echo "Done"
echo "Setting kernel tcp parameters to reduct DoS effects" #Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo "Done"
iptables -I INPUT 1 -s any/0 -p tcp --dport 411 -j ACCEPT
iptables -I INPUT 1 -s any/0 -p tcp --dport 80 -j ACCEPT

P.S. 1.Mentzionez k,din pacate am rds si am ip dinamic.
2.Vroiam dupa aceea sa il fac sa ruleze la botare(asta daca mergea)numai k tre sa bag ip-u si nu stiu variabila de autoupdate ip!
3.Fol Slackware 10.2.

#2
alabala

alabala

    Member

  • Grup: Members
  • Posts: 412
  • Înscris: 07.01.2006
fara script:

iptables -I INPUT -p tcp --dport 411 -j ACCEPT    # asta in gandul ca rulezi verli-u' ca root, si merge pe 411
iptables -I INPUT -p tcp --dport 80 -j ACCEPT  # pt. apache.

ca sa ruleze automat la fiecare pornire, scrii astea 2 comenzi in rc.local din /etc/rc.d.

#3
alabala

alabala

    Member

  • Grup: Members
  • Posts: 412
  • Înscris: 07.01.2006

View Postnexpo3, on Jan 19 2007, 19:03, said:

1.Mentzionez k,din pacate am rds si am ip dinamic.
din pacate ? :P. nik nou aici :))
cu ip-u' dinamic rezolvi foarte usor. inreg. un dns (sa zicem de la no-ip). tot acolo (la ei pe site) gasesti un programel care face ip update la ei in baza de date, implicit la dns. comanda de pornire a scriptului respectiv o scrii , la fel ca si comenzile de iptables, in rc.local, ca sa porneasca odata cu sistemu'.
daca reusesti asa, mi'esti dator cu un cont 10 pe hub :P.

Edited by alabala, 19 January 2007 - 20:47.


#4
nexpo3

nexpo3

    New Member

  • Grup: Members
  • Posts: 4
  • Înscris: 03.09.2006

View Postalabala, on Jan 19 2007, 20:46, said:

din pacate ? :P. nik nou aici :))
cu ip-u' dinamic rezolvi foarte usor. inreg. un dns (sa zicem de la no-ip). tot acolo (la ei pe site) gasesti un programel care face ip update la ei in baza de date, implicit la dns. comanda de pornire a scriptului respectiv o scrii , la fel ca si comenzile de iptables, in rc.local, ca sa porneasca odata cu sistemu'.
daca reusesti asa, mi'esti dator cu un cont 10 pe hub :P.

deci.....eu am dns la no-ip de 7 luni si o folda nu stiam ca pot sa o pun in script in loc de ip
da pb e traficu motr....de ce....und e greseala?

ps.....il pusesem sa buteze da trebuia sa il scot ca sa imi mearga netu ca daca il lasam cu setarile alea aveam trafic 0(ma refer la iptables)

Edited by mufă, 19 January 2007 - 21:28.
nu mai scrie cu k


#5
Strict

Strict

    Custom member title

  • Grup: Members
  • Posts: 5,226
  • Înscris: 07.08.2006
Cinstit, mi-e greu să-ți înțeleg posturile, așa că nu cred c-am să revin pe topicul ăsta.

Cum te-ai prins că nu ai trafic?  Printre altele, cînd ai blocat complet UDP-ul ți-ai tăiat și DNS-ul; cum tăiasei și pingul, era relativ greu să te prinzi dacă poți face trafic sau nu.

De asemenea, nu ai setat nici policy DROP, nici vreo regulă catch-all; așa că degeaba pui reguli cu ACCEPT pe TCP, dacă nu le pui ai default tot ACCEPT.

#6
alicumircea

alicumircea

    Member

  • Grup: Members
  • Posts: 476
  • Înscris: 11.06.2004
mura-n gura:

#!/bin/sh

INET_IFACE="eth0"

DHCP="no"
DHCP_SERVER="192.168.1.1"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/usr/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 411 -j allowed

#
# UDP ports
#

$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
if [ $DHCP == "yes" ]; then
$IPTABLES -A udp_packets -p UDP -s $DHCP_SERVER --sport 67 \
  --dport 68 -j ACCEPT
  fi
  
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
  
  $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
  
  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
  
  $IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \
  -j ACCEPT
  $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
  $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
  $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
  $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  --log-level DEBUG --log-prefix "IPT INPUT packet died: "
	
  $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
  $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
  $IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
  $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "


#7
nexpo3

nexpo3

    New Member

  • Grup: Members
  • Posts: 4
  • Înscris: 03.09.2006

View PostStrict, on Jan 19 2007, 21:44, said:

Cinstit, mi-e greu să-ți înțeleg posturile, așa că nu cred c-am să revin pe topicul ăsta.

Cum te-ai prins că nu ai trafic?  Printre altele, cînd ai blocat complet UDP-ul ți-ai tăiat și DNS-ul; cum tăiasei și pingul, era relativ greu să te prinzi dacă poți face trafic sau nu.

De asemenea, nu ai setat nici policy DROP, nici vreo regulă catch-all; așa că degeaba pui reguli cu ACCEPT pe TCP, dacă nu le pui ai default tot ACCEPT.


Precum am si zis mai sus.Nu le am cu iptables...vreau sa invat da momentan am nevoie de protectie pe host,k pana o sa invat eu si o sa si inteleg mai dureaza ceva.Soarta,impart si eu...k tot omu munka,faculta,prietena si calu....si dak mai e timp si ceva invatat...sorry dak te-ai simtit ofensat

#8
Strict

Strict

    Custom member title

  • Grup: Members
  • Posts: 5,226
  • Înscris: 07.08.2006
Nu ofensat; e doar obositor să citesc un post mai lung de 3 rînduri scris cu "k tot omu munka,faculta,prietena si calu....si dak".  Calu' presupun că e calculatorul, nu un membru al hergheliei.

Pe de altă parte, dacă nu le ai cu iptables dar vrei să ai un Linux cu ceva servicii pornite, legat la Internet dar cu firewall activ şi porturi închise, Slackware nu e cea mai potrivită distribuţie.  Din cîte ştiu, există distribuţii mai prietenoase cu firewall gata configurat şi tooluri pentru chestii de-astea.

Edited by Strict, 24 January 2007 - 09:31.


#9
cianura

cianura

    Senior Member

  • Grup: Senior Members
  • Posts: 2,754
  • Înscris: 19.01.2004
Ai putea incerca sa instalezi/compilezi firestarter, ori il compilezi din surse, ori iti arunci ochii pe aici si vezi ce poti face in privinta asta. Daca vrei sa vezi cum arata, foloseste google sa gasesti site-ul softului.

Anunturi

Chirurgia endoscopică a hipofizei Chirurgia endoscopică a hipofizei

"Standardul de aur" în chirurgia hipofizară îl reprezintă endoscopia transnazală transsfenoidală.

Echipa NeuroHope este antrenată în unul din cele mai mari centre de chirurgie a hipofizei din Europa, Spitalul Foch din Paris, centrul în care a fost introdus pentru prima dată endoscopul în chirurgia transnazală a hipofizei, de către neurochirurgul francez Guiot. Pe lângă tumorile cu origine hipofizară, prin tehnicile endoscopice transnazale pot fi abordate numeroase alte patologii neurochirurgicale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate