[ SlackList ] [ WkikiSlack ]



Re: dziwne zachowanie serwera

From: Asmo <rafalzajac@interia.pl>
Date: Sat Mar 08 2003 - 14:49:13 CET
[slacklist] Re: dziwne zachowanie serwera

Witam

> #!/bin/sh
> #przekazywanie pakietow

[...]

> #wylonczenie pingow z zewnatrz i ich logowanie = kto probwal go puscic
> /sbin/iptables -A INPUT -i ppp0 -p icmp = --icmp-type echo-request
> -d xxx.xx.x.xxx -j DROP
> /sbin/iptables -A INPUT -i ppp0 -p icmp = --icmp-type echo-request
> -m limit --limit 5/min -j LOG --log-level = 6

Powinno być odwrotnie. Poza tym nie wiem czy jest = sens wyłączania pingów.
Jest to dobre narzędzie do testowania = połączenia. Powinieneś jedynie
wprowadzić ograniczenie ilości pingow jakie = przychodzą na twój serwer.
BTW: nie jest to tylko moje zdanie parafrazuje to co = wyczytalem w Bibli
TCP/IP Stevensa - wg. mnie guru :)

> #akceptacja dnsow nie jestem pewien czy jest to = potrzebne ?
> /sbin/iptables -A INPUT -s 194.204.159.1 -j = ACCEPT
> /sbin/iptables -A INPUT -s 194.204.152.34 -j = ACCEPT

DNS jako taki nie łączy się z tobą. To ty = się z nim łączysz a następnie on
przysyła ci informacje...
Pamiętaj że komunikacja z DNS odbywa się za = pośrednictwem zarówno tcp jak i
udp...
zamiast tych regułek wystarczą odpowiednie = regułki dopuszczające połączenia
NEW,ESTABLISHED i RELATED
z tego co widze masz je dalej

> #dopuszczam prace na interfejsie lokalnym to =
> potrzebne ?
> /sbin/iptables -A INPUT -i lo -j ACCEPT

A co z programami które uruchamiane na serwerze = komunikują sie przez lo?
powinno to zoastać choc napisalbym to raczej = tak:
/sbin/iptables -A INPUT -p ALL -i lo -s 127.0.0.1 -j = ACCEPT
/sbin/iptables -A INPUT -p ALL -i lo -s ip_lan -j = ACCEPT
/sbin/iptables -A INPUT -p ALL -i lo -s ip_internet = -j ACCEPT
Cytuje za: Oskar Andreasson Iptables Tutorial = 1.1.16

[...]
> /sbin/iptables -t filter -P FORWARD DROP
>
> # tego w ogulnie nie rozumie i zapewne tu jest = blad
> /sbin/iptables -t filter -A FORWARD -s = 192.168.1.0/255.255.255.0
> -m state --state NEW -j ACCEPT
> /sbin/iptables -t filter -A FORWARD -d = 192.168.1.0/255.255.255.0
> -m state --state NEW -j ACCEPT

Nie wiem po co Ci to jest...
Przez łańcuch FORWARD przechodzą tylko te = pakiety które wchodzą jednym
interfejsem a wychodzą drugim.
Wiec pakiety przekazywane miedzy ludźmi w sieci = 192.168.1.0 nigdy nie
dochodzą do łańcucha FORWARD.

> /sbin/iptables -A FORWARD -p tcp -j ACCEPT -m = state --state
> RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p icmp -j ACCEPT -m = state --state
> RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p udp -j ACCEPT -m = state --state ESTABILISHED

A nie lepiej tak:

/sbin/iptables -A FORWARD -p ALL -m state --state = ESTABLISHED,RELATED -j
ACCEPT

Do łańcucha INPUT możesz jeszcze dodać:

/sbin/iptables -A INPUT -p ALL -i interfejs_internet = -m state --state
RELATED,ESTABLISHED -j ACCEPT


Nie jestem ekspertem ale problemy jakie masz nie = koniecznie muszą być
spowodowane źle działającym firewallem. Może = to być wiele innych rzeczy. Ja
jedynie przedstawiłem poprawki jakie możesz = wnieść do ściany ogniowej. Choć
i tak pewnie wiele można by dodać lub zmienić = :)

Polecam: ht= tp://iptables-tutorial.frozentux.net/iptables-tutorial.html

# __________________________________________
# asmodeus AT interia.pl
# http://slackware.prv.pl
# "When one learns a distribution
# such as Red Hat, one learns Red Hat.
# When one learns Slackware, one learns = Linux."
#


----------------------------------------------------------------= ------
KLIKAJ!!! Nie pytaj dlaczego... >>> http://link.interia.pl/f16e2


Received on Sat Feb 21 03:37:03 2004
This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014