Autor |
Sõnum |
priits
Uus kasutaja
Liitunud: 13.12.2008
Postitused: 4
|
|
Hei siinnerahvas. Mõningad mured. Mul on tehtud kast, peal on suse 9.3 ning see töötab DHCP serverina. Masinas on ka läbi Susefirewalli lubatud ka sisevõrgu aadressid(FW_MASQ_NETS), mis pääsevad internetti, kuid ma tahaks seda süsteemi pisut edasi arendada ja uurin enne suvalist testimist kodumaist abi.
1. Tahaks keelata kõigile mingi veebilehe aadressi. Näiteks www.rate.ee
2. Tahaks keelata MAC aadressi, et mitte lubada mingit MAC aadressi internetti.
3. Kuidas suunata mingi sisevõrgu IP näiteks teisele sisevõrgu IP-le. Oletame, et miski FTP server on 192.168.X.100 ja kui mingi klient üritab FTP://192.168.X.1 (mis on host) siis logiks automaatselt ..X.100 peal sisse.
Kui ma ei eksi, siis SuSEfirewall2-st jääb väheks ja pöörduda tuleks iptables poole ?
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
1 keelamine suht lihtne kuid mõttetu, sest anonüümsete prokside kaudu kollavad nad niikuinii
iptables -D FORWARD -d 25.55.55.55 -j DROP
kui sa tahad ära keelata ikka nii et on keelatud siis squid+dasguardian+ vägisi kõik liiklus läbi squid+dasnsguardiani
2 äkki on sul lihtsam teha nii, et forwardid ainut vastavate macidega
iptables -A -i eth2 -s 192.168.1.34 -m mac --mac-source 00:00:00:00 -j ACCEPT
3.
iiptables -A PREROUTING -t nat i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.222:21
iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.1.222 --dport 21 -j ACCEPT'
unise peaga tehtud, hommiku vaatab kas ka õieti sai
|
|
|
|
|
|
|
|
priits
Uus kasutaja
Liitunud: 13.12.2008
Postitused: 4
|
|
nojaa, Proovisin susefirewallist peale panna customrules, iptablesist savesin sinna faili mis oli customrulesiks sätitud ja firewalli käivitamiseks sain hulgaa veateateid et ala COMMAND NOT FOUND aga firewall läks käima ikka aga üldse vahet võrreldes eelmisega seisuga ei olnud, ehk siis esimene punkt ei reageerinud =)
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
nu aga tee eraldi firewalli script ja lase see käima, las see suse firewall jääda
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
priits
Uus kasutaja
Liitunud: 13.12.2008
Postitused: 4
|
|
Need iptables sätted saab kuhugi eraldi faili salvestada, sellest olen aru saanud. Aga kuidas see nö susefirewall välja lülitada ja kuidas ma nö oma seda skripti rakendada siis saaks?
Muide, susefirewallis endas on ka mingi FW_REDIRECT ja FW_FORWARD-id. Küll proovisin ja pusisin nendega aga tööle ei saanud, kuigi teoreetiliselt ju peaks ka nendega midagi suunata saama ?
|
|
|
|
|
|
|
|
indrek56
Pingviini aktivist
Vanus: 50
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
|
|
mul on FW_REDIRECT selline:
FW_REDIRECT="192.168.1.0/255.255.255.0,0/0,tcp,80,3128"
ehk siis nimetatud võrgust mistahes sihtkohta tehtud klassikalised veebipäringud (tcp sihtport 80) lähevad sama masina porti 3128, ehk squidi. squidis oma käsud keelud.
suse versiooniks on 11.0
|
|
|
|
|
|
|
|
priits
Uus kasutaja
Liitunud: 13.12.2008
Postitused: 4
|
|
Selle sain paika. Nüüd veel tuleb lahendada MAC bannimine ning suunamine sisevõrgus ühelt IP-lt teisele( nt port 21 peal host suunab hoopis xxx.xxx.xx.245 ). REDIRECT sealjuures eriti just toimida ei taha.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
milleks selle susefirewalliga mässata tee iptablesi skript
lisaks sellele, et õpid võrgunduse tausta saad ka sellise skripti mis töötab ka väljaspool suset. Lisaks on sinu võimuses kõik iptablesi võimalused, mis on suuremad kui susefirewallil
maci drop peaks käima kuidagi nii
iptables -P FORWARD DROP
iptables -A FORWARD -i eth2 -s 192.168.1.34 -m mac --mac-source 00:00:00:00 -j ACCEPT
iptables -A FORWARD -i eth2 -s 192.168.1.35 -m mac --mac-source 00:00:00:00 -j ACCEPT
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
ma panen vist mööda aga:
susefirewalli peaks saama ka ju käsitsi editida....
lisa sinna lihtsalt need samused reeglid
http://en.opensuse.org/SuSEfirewall2
To configure a SuSEfirewall2 either
* edit /etc/sysconfig/SuSEfirewall2 file manually and call
/sbin/SuSEfirewall2
or
* use YaST configuration module described at YaST_Firewall page
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
|