Freesco, NND, CDN, EOS
http://forum.freesco.pl./

Firewall
http://forum.freesco.pl./viewtopic.php?f=24&t=9015		 Strona 1 z 13
Autor:  czerwo [ piątek, 16 września 2005, 20:20 ]
Tytuł:  Firewall
http://listonosz.no-ip.com/download/pak ... pkg.tar.gz
http://listonosz.no-ip.com/download/pak ... l/PKGBUILD


Sory za drobne spoznienie ;]

Paczka tylko troszke testowana, nie sprawdzalem jej dokladnie bo nie ma makoga a on sie tym zajmowal :(

po zainstaowaniu odpalic nndconf

pakiet niekompatybilny z poprzednimi moimi firewallami, dlatego prosze instalowac na "czyste" iptables; znaczy sie na takie jak jest po instalacji nnd ;]
Autor:  jamp [ piątek, 16 września 2005, 22:23 ]
Tytuł:  Re: Firewall
czerwo pisze:
http://listonosz.no-Paczka tylko troszke testowana, nie sprawdzalem jej dokladnie bo nie ma makoga a on sie tym zajmowal :(

po zainstaowaniu odpalic nndconf

pakiet niekompatybilny z poprzednimi moimi firewallami, dlatego prosze instalowac na "czyste" iptables; znaczy sie na takie jak jest po instalacji nnd ;]

Pakiet po uruchomieniu na surowo i wybraniu generacji firewala nie tworzy katalogu configi ani żadnych plików konfiguracyjnych. Na dzieńdobry trzeba wejść w każde podmenu co trochę może być przy pierwszym odpaleniu męczące. Dobrze by było, żeby przy pierwszej generacji tworzył domyślne ustawienia (pliki w katalogu configi). Miało by to jeszcze taką zaletę, że początkujący nie zastanawiali by się co tam wpisać.
Autor:  czerwo [ piątek, 16 września 2005, 22:52 ]
Tytuł: 
przeicez tworzy albo powiien ;]

a jednak wkradl sie blad juz jest ok ;]
Autor:  jamp [ piątek, 16 września 2005, 23:54 ]
Tytuł: 
czerwo pisze:
przeicez tworzy albo powiien ;]

a jednak wkradl sie blad juz jest ok ;]

Tamto jest OK, ale jeszcze wywala mi:
cat: eth2: Niema takiego pliku ani katalogu
cat: eth3: Niema takiego pliku ani katalogu
Autor:  czerwo [ sobota, 17 września 2005, 00:03 ]
Tytuł: 
konfigurowales siec na wiecej interfejsow a pozniej wyciagles??
pokaz wynik ifconfig

ls /etc/network
cat /etc/rc.conf
Autor:  czerwo [ sobota, 17 września 2005, 00:18 ]
Tytuł: 
widze ze niektorzy maja problemy dlatego nalezy generowac firewall albo z serwera albo w screenie bo zrywa polaczenia przy generacji

po 2. nalezy wylaczyc mrtg , niceshapera do generacji
Autor:  jamp [ sobota, 17 września 2005, 03:45 ]
Tytuł: 
czerwo pisze:
konfigurowales siec na wiecej interfejsow a pozniej wyciagles??
pokaz wynik ifconfig

ls /etc/network
cat /etc/rc.conf

Proszę bardzo :)

eth0 Link encap:Ethernet HWaddr 00:D0:37:1C:D3:32
inet addr:217.113.232.28 Bcast:217.113.232.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:84985 errors:0 dropped:0 overruns:0 frame:0
TX packets:1477 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:16544748 (15.7 Mb) TX bytes:261620 (255.4 Kb)
Interrupt:11 Base address:0xa000

eth1 Link encap:Ethernet HWaddr 00:02:CB:19:AB:E6
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:5 Base address:0xc000

eth2 Link encap:Ethernet HWaddr 00:04:12:D5:6A:52
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Base address:0x9800 Memory:d52a0000-d52c0000

eth3 Link encap:Ethernet HWaddr 00:04:12:D5:6A:53
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:622 errors:0 dropped:0 overruns:0 frame:0
TX packets:633 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:129518 (126.4 Kb) TX bytes:315253 (307.8 Kb)
Base address:0x9c00 Memory:d5280000-d52a0000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:74 errors:0 dropped:0 overruns:0 frame:0
TX packets:74 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7868 (7.6 Kb) TX bytes:7868 (7.6 Kb)


Zawarto¶ć /etc/network

external
rc.dsl

internal
eth1
eth2
eth3
lo


# /etc/rc.conf - plik konfiguracyjny NND


# Lokalizacja
#
# HARDWARECLOCK: ta zmienna powinna być ustawiona na "UTC" lub "localtime"
# TIMEZONE: strefa czaswowa; patrz w /usr/share/zoneinfo
# KEYMAP: mapowanie klawiatury; patrz w /usr/share/kbd/keymaps
# CONSOLEFONT: font z /usr/share/kbd/consolefonts (potrzebne tylko dla non-us)
# USECOLOR: używaj sekwencji ANSI do kolorowania informacji startowych

HARDWARECLOCK="UTC"
TIMEZONE=Poland
KEYMAP=pl02.map
CONSOLEFONT=lat2-12.psfu.gz
USECOLOR="yes"

# Sieć

NETWORK=1
HOSTNAME="jam9"
DOMAINNAME="com"
CONNECTION="dsl"
EXTIF="eth0"
INTIF1="eth1"
INTIF2="eth2"
INTIF3="eth3"


# Serwer DHCP
# Zmienna zawieraj±ca nazwy wszystkich wewnętrznych interfejsów sieciowych,
# na których nasłuchiwał będzie serwer DHCP.
# Poprzedzenie nazwy interfejsu wykrzyknikiem (!) spowoduje, że
# dany interfejs nie będzie brany pod uwagę przez serwer DHCP.
# Należy zwrócić uwagę by wszystkie wymienione tu interfejsy zostały
# uruchomione przed startem serwera DHCP - najłatwiej osi±gn±ć to
# umieszczaj±c odpowiednie scripty w katalogu /etc/network/internal.
# Domy¶lnie, bezpo¶rednio po konfiguracji systemu net_confem, wszystkie
# interfejsy wewnętrzne s± obsługiwane przez serwer DHCP.

DHCPIF=(eth1 eth2 eth3)

# Firewall
# Wszystkie zmienne w tej sekcji mog± przybierać warto¶ć 0 lub 1 (zero, jeden)
# ustawienie 1 powoduję, że firewall zezwoli na dostęp z internetu do danej
# usługi działaj±cej na naszym serwerze.
# Przy poniższym ustawieniu z internetu można się poł±czyć z naszym serwerem
# www, oraz administrować NND zdalnie poprzez ssh.
# Wszystkie usługi musz± działać na portach standardowych. Aby sprawdzić numery
# portów konkretnej usługi zajrzyj do pliku /etc/services.

SSH=0
WWW=1
HTTPS=0
FTP=0
MAIL=1
IMAP=0
IMAPS=0

# Moduły
# Moduły, które maj± być automatycznie ładowane podczas startu systemu.
# Poprzedzenie nazwy wykrzyknikiem (!) powoduje, że dany moduł
# nie będzie ładowany automatycznie.
# Moduły s± ładowane do pamięci w kolejno¶ci w jakiej s± wpisane.

MODULES=(eth0 e1000 !ide-scsi ip_conntrack ip_conntrack_ftp ip_conntrack_irc ip_nat_ftp ip_nat_irc iptable_nat ip_tables)


# Demony
# Usługi (daemony) które będ± startować podczas startu systemu.
# poprzedzenie nazwy wykrzyknikiem (!) spowoduję że dana usługa
# nie będzie uruchomiona automatycznie.
# Usługi s± uruchamiane w kolejno¶ci w jakiej s± wpisane.
# Kolejno¶ci pierwszych siedmiu raczej nie powiniene¶ zmieniać.

DAEMONS=(syslogd klogd crond sshd lan internet iptables named !xinetd dhcpd httpd)


# KONIEC PLIKU
Autor:  czerwo [ sobota, 17 września 2005, 08:53 ]
Tytuł: 
dobra to trzeba zrobic poprawke ;]
Autor:  czerwo [ sobota, 17 września 2005, 09:07 ]
Tytuł: 
mam tylko jeden interfejs dlatego ciezko mi to sprawdzic ale zobacz teraz powinno juz nie pisac takich glupot :P

A jak bedzie to zrob tak:
zedytuj plik /etc/nndconf/firewall i dopisza na samej gorze za #!/bin/sh set -x w nowej lini i odpal tak: nndconf 2> /plik zostanie utowrzony w / plik plik, wystaw go gdzies to poprawie bo tak to mam drobne problemy
Autor:  czerwo [ sobota, 17 września 2005, 13:07 ]
Tytuł: 
marudzil mi Surfer, zainstalowal firewall chdzi bez problemu ale ze mial problem z bokada p2p to zrobilem maly upgrade w mojej wersji ze teraz nawet jak cos nie blokwoal t ozaczol blokowac ;]
Autor:  jamp [ sobota, 17 września 2005, 13:42 ]
Tytuł: 
czerwo pisze:
marudzil mi Surfer, zainstalowal firewall chdzi bez problemu ale ze mial problem z bokada p2p to zrobilem maly upgrade w mojej wersji ze teraz nawet jak cos nie blokwoal t ozaczol blokowac ;]

No to może i ja Ci pomarudzę ;)
Dodał byś obsługę portu 53 (DNS'a), bo ja i pewnie paru ludzi ma takie zwierzątko :) (Wystarczy Włącz/Wyłącz bo wstawianie tego z ręki po każdej zmianie jest upierdliwe.)
Autor:  czerwo [ sobota, 17 września 2005, 13:44 ]
Tytuł: 
mozna konkretniej?? bo nie wiem o co chodzi
a co z bledami :>
Autor:  jamp [ sobota, 17 września 2005, 13:51 ]
Tytuł: 
czerwo pisze:
mozna konkretniej?? bo nie wiem o co chodzi
a co z bledami :>


Coś w tym stylu

# zaplotkuj jesli nie chcesz udostepniac serwisu dns
if [ $DNS = 1 ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 53 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --dport 53 -j ACCEPT
fi
A co do błędów to po obiadku dosiądę się do kompa i rozpocznę testy :)
Autor:  czerwo [ sobota, 17 września 2005, 13:53 ]
Tytuł: 
to dopisz do portow otwartych 53 i dal tcp i udp i po sprawie :P
Autor:  jamp [ sobota, 17 września 2005, 14:01 ]
Tytuł: 
czerwo pisze:
to dopisz do portow otwartych 53 i dal tcp i udp i po sprawie :P

To była moja prośba o dołożenie okienka na liście wyborów. Byłoby o niebo kulturalniej. Jak by nie było DNS to jeden z podstawowych serverów internetowych i bez niego nikt kto nie zna konkretnego numerka IP kolegi nie znalazł by go w sieci :)
Autor:  jamp [ sobota, 17 września 2005, 20:27 ]
Tytuł: 
czerwo pisze:
<...a co z bledami :>

Narazie OK :)
Autor:  ccrash [ niedziela, 18 września 2005, 14:40 ]
Tytuł: 
Ja mam takie pytanie jest tam blokada ilosc polaczen czy jest to blokada na jednego uzytkownika czy na caly interfejs to chyba wazne pytanie
Autor:  czerwo [ niedziela, 18 września 2005, 15:09 ]
Tytuł: 
a pomoc przeczytales? bo tam chyba pisalem ale nie wiem

a taka bałwan jestem tam jest zastosowana

echo "7200" >/proc/sys/net/ipv4/netfilter ip_conntrack_tcp_timeout_established


iptables -A FORWARD -s 1010.10.10 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask
Autor:  czerwo [ niedziela, 18 września 2005, 18:09 ]
Tytuł: 
niestety jest blad i firewall nie chodzi :(
Autor:  czerwo [ niedziela, 18 września 2005, 20:24 ]
Tytuł: 
ok juz poprawione do sciagniecia
Strona 1 z 13 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/