[ SlackList ] [ WkikiSlack ]



Re: dziwne zachowanie serwera

From: Machoni <machoni@o2.pl>
Date: Sat Mar 08 2003 - 12:52:53 CET
[slacklist] Re: dziwne zachowanie serwera

> #!/bin/sh
> #przekazywanie pakietow
> echo "1" > = /proc/sys/net/ipv4/ip_forward
> echo "1" > = /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> echo "1" > = /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
> echo "1" > = /proc/sys/net/ipv4/conf/all/rp_filter
> echo "0" > = /proc/sys/net/ipv4/conf/all/accept_redirects
> echo "0" > = /proc/sys/net/ipv4/conf/all/accept_source_route

Wow... sporo tego ;-)

> #czyszczenie tablic
> /sbin/iptables -F -t nat
> /sbin/iptables -X -t nat
> /sbin/iptables -F -t filter
> /sbin/iptables -X -t filter
>
> #wylonczenie pingow z zewnatrz i ich logowanie = kto probwal go puscic
> /sbin/iptables -A INPUT -i ppp0 -p icmp = --icmp-type echo-request -d
xxx.xx.x.xxx -j DROP
> /sbin/iptables -A INPUT -i ppp0 -p icmp = --icmp-type echo-request -m
limit --limit 5/min -j LOG --log-level 6

blad, pierwsza regola wywali wszystko i nic nie = zostanie zalogowane (odwroc
je jesli juz)

> #akceptacja dnsow nie jestem pewien czy jest to = potrzebne ?
> /sbin/iptables -A INPUT -s 194.204.159.1 -j = ACCEPT
> /sbin/iptables -A INPUT -s 194.204.152.34 -j = ACCEPT
>
> #dopuszczam prace na interfejsie lokalnym to =
?
> /sbin/iptables -A INPUT -i lo -j ACCEPT

chyba ;-)

> # logowanie kto uzywa mojego serwera jako = "maszyny-przesiadkowej" z kont
zewnetrznych
> /sbin/iptables -A OUTPUT -p tcp --dport 22 -m = limit --limit 1/min -j LOG

ciekawe rozwiazanie ;-) Ja nie mam takiej potrzeby, = ale...

> /sbin/iptables -t filter -P FORWARD DROP
>
> # tego w ogulnie nie rozumie i zapewne tu jest = blad
> /sbin/iptables -t filter -A FORWARD -s = 192.168.1.0/255.255.255.0 -m
state --state NEW -j ACCEPT
> /sbin/iptables -t filter -A FORWARD -d = 192.168.1.0/255.255.255.0 -m
state --state NEW -j ACCEPT
> /sbin/iptables -A FORWARD -p tcp -j ACCEPT -m = state --state
RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p icmp -j ACCEPT -m = state --state
RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p udp -j ACCEPT -m = state --state ESTABILISHED

Ta druga bym wywalil, pozatym zamiast 3 i 4 daj = jedna  -p ! udp  chyba ze
tak wydaje Ci sie czytelniej (i wiesz co robisz), to = tylko sugestie, ogolnie
regoly sa dobre (skladniowo).
A tak wogole dlaczego nie dasz

/sbin/iptables -A FORWARD -j ACCEPT -m state --state =

> #udostepnianie internetu
> /sbin/iptables -t nat -A POSTROUTING -s = 192.168.1.2 -j SNAT --to-source
xxx.xx.x.xxx

sprobuj tak

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2 -d = ! 192.168.1.0/24  -j
SNAT --to-source xxx.xx.x.xxx

>
> #zaladowanie modulow sledzenia oraz do ftp i =
> /sbin/modprobe -a ip_conntrack
> /sbin/modprobe -a ip_conntrack_ftp
> /sbin/modprobe -a ip_nat_ftp
> /sbin/modprobe -a ip_nat_irc

/sbin/modprobe -a ip_conntrack_irc   = ??


Pozatym pytanie...  zajmujesz sie forwardem, nic = nie wpuszczasz na serwer
czy wpuszczasz wszystko ??  jaka jest polityka = poszczegolnych lancuchow ?

Moja rada...   przeczytaj howto o = filtrowaniu pakietow, oraz o nacie.
Pozniej stworzyc regoly pozwalajace na wszystko (lub = prawie)  i po kolei
dokladac ograniczenia. Sam sie nauczysz i bedziesz = wiedzial gdzie zaczyna Ci
szwankowac.

Pozdroffka
Machoni.

Received on Sat Feb 21 03:37:03 2004
This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014