ipchains - jak povolit pristup I

Miroslav BENES mbenes na tenez.cz
Úterý Červenec 4 14:57:45 CEST 2000 

> Vzhledem k tomu, ze "DNS komunikace" lze v pripade, ze neprovadite
> dukladnou inspekci pruchoziho obsahu, jen tezko definovat jinak, nez jako
> UDP datagramy z urcitych IP adres se zdrojovym portem 53, pak to asi o moc
> lepe neudelate.

To znamena, ze muze prijit takovy paket od jakehokoliv stroje ? A mam 
tedy povolit vsechny podobne pakety ?

ipchains -A bad-if -p udp --sport domain -j ACCEPT
??????

> Ale stejne je lepsi udelat si vlastni forwarder, nez
> pouzivat forwarder(y) venku.

No to jsem taky zkousel, ale pokud bezi ipchains, dostanu odpoved od 
nej (non-authoritative), ale on sam uz se nedokaze zeptat jinde.

Kdyz ale povolim veskery provoz udp na 53, slape to. Ufff.

> > # good-if je vstupni interface eth pro vnitrni sit
> > ipchains -A good-if -i ! eth1                  -j DENY
> 
> Hm?! A to ma jaky smysl (kdyz predpokladam, ze tam nekde je neco na zpusob
> ipchains -A input -i eth1 -j good-if)?

Naopak. V prikadu se filtruje se podle zdrojove adresy a az pak se 
vyhodi pakety, ktere maji potrebnou adresu, ale prisly odjinud :

ipchains -N good-if
ipchains -A input -d 192.168.128.253 -j good-if
ipchains -A good-if -i ! eth1 -j DENY
... ping + pong ...
ipchains -A good-if -j DENY -l

a tim to konci. Proc to maji zrovna takhle ale nevim.
Oni tam nepocitaji s tim, ze by se pres vnitrni iface hnaly dalsi 
sluzby.

 
> > Ale nechodilo to - nenavazalo se ani ssh spojeni, neodpovidal squid,
> > nechodily DNS dotazy. Nakonec jsme povolil na vnitrni siti veskery 
> > provoz :
> 
> Mel jste na patricnych jinych mistech povoleno, aby chodily odpovedi?

Priznam se, ze trosku tapu. Kdyz taham stranky z proxy do prohlizece, 
ukazuje nestat :
Proto	mistni adr	vzdalena adr
tcp		fw:3128		muj-stroj:21860 (21857 ....).

Vum ze jde o tcp a ze se bavi pres port 3128. Ale jaky je vztah mezi 
adresami mistni/vzdalena a source/destination ? Jestli to dobre 
chapu, pak mistni jsem ja, vzdalena je ten druhy, source je 
odesilatel a destination je prijemce paketu ? 

> Co ja vim. Kdyz neco nefunguje, tak si ty pravidla vypisujte i s pocty
> zachycenych datagramu (ipchains -L -v) a divejte se, kde pribyvaji cisla.

Uz jsem zase o kousek dal.

Takze pokud to nekdo potrebuje, je potreba povolit :

 - komunikace squid - nadrazeny squid :
	prichozi udp na portech 3128, 3130, 
	prichozi tcp 3128 s parametrem ! -y
	prichozi tcp www s parametrem ! -y

 - ntptrace jinych stroju
	udp --sport ntp
	udp --dport ntp




--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux