firewall icq
Milan Vobecký
vobecky na zs.celakovice.cz
Pondělí Říjen 4 12:55:21 CEST 2004
Dobry den,
nastavil jsem nasledujici firewallova pravidla na PII 350MHz se 128MB RAM Fedora C1. Stroj dela gateway a pres ni komunikuje cca 20 lidi.
Vsechny aplikace bezi nornalne, jen u ICQ se stava, kdyz klient prestane komunikovat na delsi dobu (cca30min-1h),
tak se jakoby vymaze jeho TCP session a on se prepne do offline stavu (vsechny zpravy ktere posle zmyzi do nenavratna atd....) aniz by o tom tusil
(on sam se vidi online, ale ostani a ho vidi offline) a musi se znova prilogovat na ICQ server.
Nesetkal jste se nekdo s necim podobnym?
Myslel jsem si, ze by to mohlo souviset s nastavenim ip_conntrack_max (man 8184), ale v logach jse nikde ip_conntrack table is full nenasel.
ip_conntrack_tcp_timeout_established (mam 432000) je taky myslim dostatecna hodnota.
Milan Vobecky
# Zahazovat a logovat (max. 5 x 3 pakety za hod)
$IPTABLES -N logdrop
$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
$IPTABLES -A logdrop -j DROP
# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
$IPTABLES -N IN_FW
$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop
$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop
$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop
# Retezec FORWARD
# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# Nechceme rezervovane adresy na internetovem rozhrani
$IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW
# Routing zevnitr site ven neomezujeme
$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT
# Routing zvenku dovnitr pouze pro navazana spojeni
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)
$IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward drop: "
Další informace o konferenci Linux