Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
priits
Uus kasutaja
Uus kasutaja



Liitunud: 13.12.2008
Postitused: 4


estonia.gif
postituspostitatud: 13.12.2008, 23:38  postituse pealkiri:  SuSEfirewall2  

Hei siinnerahvas. Mõningad mured. Mul on tehtud kast, peal on suse 9.3 ning see töötab DHCP serverina. Masinas on ka läbi Susefirewalli lubatud ka sisevõrgu aadressid(FW_MASQ_NETS), mis pääsevad internetti, kuid ma tahaks seda süsteemi pisut edasi arendada ja uurin enne suvalist testimist kodumaist abi.

1. Tahaks keelata kõigile mingi veebilehe aadressi. Näiteks www.rate.ee
2. Tahaks keelata MAC aadressi, et mitte lubada mingit MAC aadressi internetti.
3. Kuidas suunata mingi sisevõrgu IP näiteks teisele sisevõrgu IP-le. Oletame, et miski FTP server on 192.168.X.100 ja kui mingi klient üritab FTP://192.168.X.1 (mis on host) siis logiks automaatselt ..X.100 peal sisse.

Kui ma ei eksi, siis SuSEfirewall2-st jääb väheks ja pöörduda tuleks iptables poole ?


illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 14.12.2008, 01:00  postituse pealkiri:  (teema puudub)  

1 keelamine suht lihtne kuid mõttetu, sest anonüümsete prokside kaudu kollavad nad niikuinii
iptables -D FORWARD -d 25.55.55.55 -j DROP
kui sa tahad ära keelata ikka nii et on keelatud siis squid+dasguardian+ vägisi kõik liiklus läbi squid+dasnsguardiani

2 äkki on sul lihtsam teha nii, et forwardid ainut vastavate macidega
iptables -A -i eth2 -s 192.168.1.34 -m mac --mac-source 00:00:00:00 -j ACCEPT
3.
iiptables -A PREROUTING -t nat i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.222:21
iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.1.222 --dport 21 -j ACCEPT'

unise peaga tehtud, hommiku vaatab kas ka õieti sai Smile


priits
Uus kasutaja
Uus kasutaja



Liitunud: 13.12.2008
Postitused: 4


estonia.gif
postituspostitatud: 14.12.2008, 11:54  postituse pealkiri:  (teema puudub)  

nojaa, Proovisin susefirewallist peale panna customrules, iptablesist savesin sinna faili mis oli customrulesiks sätitud ja firewalli käivitamiseks sain hulgaa veateateid et ala COMMAND NOT FOUND aga firewall läks käima ikka aga üldse vahet võrreldes eelmisega seisuga ei olnud, ehk siis esimene punkt ei reageerinud =)


illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 14.12.2008, 19:29  postituse pealkiri:  (teema puudub)  

nu aga tee eraldi firewalli script ja lase see käima, las see suse firewall jääda

_________________
https://www.inlink.ee

priits
Uus kasutaja
Uus kasutaja



Liitunud: 13.12.2008
Postitused: 4


estonia.gif
postituspostitatud: 14.12.2008, 19:51  postituse pealkiri:  (teema puudub)  

Need iptables sätted saab kuhugi eraldi faili salvestada, sellest olen aru saanud. Aga kuidas see nö susefirewall välja lülitada ja kuidas ma nö oma seda skripti rakendada siis saaks?

Muide, susefirewallis endas on ka mingi FW_REDIRECT ja FW_FORWARD-id. Küll proovisin ja pusisin nendega aga tööle ei saanud, kuigi teoreetiliselt ju peaks ka nendega midagi suunata saama ?


indrek56
Pingviini aktivist
Pingviini aktivist


Vanus: 50
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
estonia.gif
postituspostitatud: 14.12.2008, 21:21  postituse pealkiri:  (teema puudub)  

mul on FW_REDIRECT selline:
FW_REDIRECT="192.168.1.0/255.255.255.0,0/0,tcp,80,3128"

ehk siis nimetatud võrgust mistahes sihtkohta tehtud klassikalised veebipäringud (tcp sihtport 80) lähevad sama masina porti 3128, ehk squidi. squidis oma käsud keelud.
suse versiooniks on 11.0


priits
Uus kasutaja
Uus kasutaja



Liitunud: 13.12.2008
Postitused: 4


estonia.gif
postituspostitatud: 15.12.2008, 00:17  postituse pealkiri:  (teema puudub)  

Selle sain paika. Nüüd veel tuleb lahendada MAC bannimine ning suunamine sisevõrgus ühelt IP-lt teisele( nt port 21 peal host suunab hoopis xxx.xxx.xx.245 ). REDIRECT sealjuures eriti just toimida ei taha.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 15.12.2008, 15:24  postituse pealkiri:  (teema puudub)  

milleks selle susefirewalliga mässata tee iptablesi skript
lisaks sellele, et õpid võrgunduse tausta saad ka sellise skripti mis töötab ka väljaspool suset. Lisaks on sinu võimuses kõik iptablesi võimalused, mis on suuremad kui susefirewallil

maci drop peaks käima kuidagi nii
iptables -P FORWARD DROP
iptables -A FORWARD -i eth2 -s 192.168.1.34 -m mac --mac-source 00:00:00:00 -j ACCEPT
iptables -A FORWARD -i eth2 -s 192.168.1.35 -m mac --mac-source 00:00:00:00 -j ACCEPT

_________________
https://www.inlink.ee

illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 15.12.2008, 15:33  postituse pealkiri:  (teema puudub)  

ma panen vist mööda aga:
susefirewalli peaks saama ka ju käsitsi editida....
lisa sinna lihtsalt need samused reeglid

http://en.opensuse.org/SuSEfirewall2
To configure a SuSEfirewall2 either

* edit /etc/sysconfig/SuSEfirewall2 file manually and call

/sbin/SuSEfirewall2

or

* use YaST configuration module described at YaST_Firewall page

_________________
https://www.inlink.ee

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group