ipchains - jak povolit pristup I
Miroslav BENES
mbenes na tenez.cz
Úterý Červenec 4 14:57:45 CEST 2000
> Vzhledem k tomu, ze "DNS komunikace" lze v pripade, ze neprovadite
> dukladnou inspekci pruchoziho obsahu, jen tezko definovat jinak, nez jako
> UDP datagramy z urcitych IP adres se zdrojovym portem 53, pak to asi o moc
> lepe neudelate.
To znamena, ze muze prijit takovy paket od jakehokoliv stroje ? A mam
tedy povolit vsechny podobne pakety ?
ipchains -A bad-if -p udp --sport domain -j ACCEPT
??????
> Ale stejne je lepsi udelat si vlastni forwarder, nez
> pouzivat forwarder(y) venku.
No to jsem taky zkousel, ale pokud bezi ipchains, dostanu odpoved od
nej (non-authoritative), ale on sam uz se nedokaze zeptat jinde.
Kdyz ale povolim veskery provoz udp na 53, slape to. Ufff.
> > # good-if je vstupni interface eth pro vnitrni sit
> > ipchains -A good-if -i ! eth1 -j DENY
>
> Hm?! A to ma jaky smysl (kdyz predpokladam, ze tam nekde je neco na zpusob
> ipchains -A input -i eth1 -j good-if)?
Naopak. V prikadu se filtruje se podle zdrojove adresy a az pak se
vyhodi pakety, ktere maji potrebnou adresu, ale prisly odjinud :
ipchains -N good-if
ipchains -A input -d 192.168.128.253 -j good-if
ipchains -A good-if -i ! eth1 -j DENY
... ping + pong ...
ipchains -A good-if -j DENY -l
a tim to konci. Proc to maji zrovna takhle ale nevim.
Oni tam nepocitaji s tim, ze by se pres vnitrni iface hnaly dalsi
sluzby.
> > Ale nechodilo to - nenavazalo se ani ssh spojeni, neodpovidal squid,
> > nechodily DNS dotazy. Nakonec jsme povolil na vnitrni siti veskery
> > provoz :
>
> Mel jste na patricnych jinych mistech povoleno, aby chodily odpovedi?
Priznam se, ze trosku tapu. Kdyz taham stranky z proxy do prohlizece,
ukazuje nestat :
Proto mistni adr vzdalena adr
tcp fw:3128 muj-stroj:21860 (21857 ....).
Vum ze jde o tcp a ze se bavi pres port 3128. Ale jaky je vztah mezi
adresami mistni/vzdalena a source/destination ? Jestli to dobre
chapu, pak mistni jsem ja, vzdalena je ten druhy, source je
odesilatel a destination je prijemce paketu ?
> Co ja vim. Kdyz neco nefunguje, tak si ty pravidla vypisujte i s pocty
> zachycenych datagramu (ipchains -L -v) a divejte se, kde pribyvaji cisla.
Uz jsem zase o kousek dal.
Takze pokud to nekdo potrebuje, je potreba povolit :
- komunikace squid - nadrazeny squid :
prichozi udp na portech 3128, 3130,
prichozi tcp 3128 s parametrem ! -y
prichozi tcp www s parametrem ! -y
- ntptrace jinych stroju
udp --sport ntp
udp --dport ntp
--------------------------
Miroslav BENES
E-mail : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------
Další informace o konferenci Linux