Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

2.2.2007 17:29 Privykouk
Rozbalit Rozbalit vše Re: Vyhledání internetu při spuštění fc6

Diky za radu, ale bohuzel nic nefungovalo. At jsem udelal co jsem udelal, tak se to chova stejne. Ted mi az tak uplne nejde o routovani, to si klidne ten skript pustim sam, ale jde mi o to, aby hned nazacatku fedora nasla internet. Kdyz jsem ji zapinal drive, tak automaticky nasla adresu upc. bla bla bla , ted najde localdomain, nebo tak neco. Ten script muzu dat sem, ale je to fakt hodne dlouhy.

# resetujeme IP tables
/usr/local/bin/iptables-reset 2&> /dev/null

# Vase IP adresa a vnejsi rozhrani
INET_IFACE="eth1"
#`/sbin/ifconfig $INET_IFACE | grep "inet addr" | cut -d ':' -f 2 | cut -d ' ' -f 1`
OLD_LOCALE="`locale | grep LC_MESSAGES`"
export LC_MESSAGES=en
INET_IP="`/sbin/ifconfig $INET_IFACE | grep "inet addr" | cut -d ':' -f 2 | cut -d ' ' -f 1`"
export $OLD_LOCALE
#INET_IP="213.220.203.247"

#LAN_MAZLICEK="192.168.0.5"
#LAN_CIPISEK="192.168.0.15"
#LAN_CASPER="192.168.0.155"

# IP a broadcast adresa a rozhrani vnitrni site
LAN1_IFACE="eth0"
LAN1_IP="192.168.1.1/32"
LAN1_BCAST="192.168.1.255/32"

# Lokalni loopback rozhrani
LO_IFACE="lo"
LO_IP="127.0.0.1/32"

# Cesta k programu iptables
IPTABLES="/sbin/iptables"

# Inicializace databaze modulu
/sbin/depmod -a

# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "0" > /proc/sys/net/ipv4/tcp_ecn

# rp_filter na zamezeni IP spoofovani
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo "1" > ${interface}
done

# Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP


#
# Retezec PREROUTING v NAT tabulce
#

# Odchozi HTTP pozadavky (na port 80 s vyjimkou lokalniho serveru) 
# budou presmerovany na lokalniho squida (na portu 3128) ve funkci 
#transparentni proxy cache.
#$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128 

# Presmerujeme port 2222 na port 22 (ssh) stanice uvnitr site 
#$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 2222 -j DNAT --to $LAN_MAZLICEK:22

#
# Retezec POSTROUTING v NAT tabulce
#

# IP maskarada - SNAT
# NATujeme 
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP


#
# Pridavne retezce pro snazsi kontrolu na rezervovane adresy
#

# Zahazovat a logovat (max. 5 x 3 pakety za hod)
$IPTABLES -N logdrop
#$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
$IPTABLES -A logdrop -j DROP


# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
$IPTABLES -N IN_FW
$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop # rezervovano podle RFC1918
$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop     #   ---- dtto ----
$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop  #   ---- dtto ----  
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop     # rezervovano podle IANA
# ... dalsi rezervovane adresy mozno doplnit podle 
#       http://www.iana.com/assignments/ipv4-address-space


# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput



#
# Retezec FORWARD
#

# Navazovani spojeni ala Microsoft -
# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A FORWARD -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A FORWARD -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Pustime FORWARD adresy modemu do vnitrni site
$IPTABLES -A FORWARD -i $INET_IFACE -s 192.168.100.1 -j ACCEPT

# Nechceme rezervovane adresy na internetovem rozhrani
$IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW

# Umoznit presmerovani portu na stanici dovnitr site
#$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d $LAN_MAZLICEK --dport ssh -j ACCEPT
#$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d $LAN_MAZLICEK --dport 80 -j ACCEPT
#$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d $LAN_MAZLICEK --dport 21 -j ACCEPT
#$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d $LAN_MAZLICEK --dport 9100 -j ACCEPT

# Routing zevnitr site ven neomezujeme
$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT

# Routing zvenku dovnitr pouze pro navazana spojeni (stavovy firewall)
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)
#$IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward drop: "

#
# Retezec INPUT
#

# Navazovani spojeni ala Microsoft -
# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Portscan s nastavenym SYN,FIN
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Pred zbavenim se nezadoucich adres propustime nas modem
$IPTABLES -A INPUT -i $INET_IFACE -s 192.168.100.1 -j ACCEPT

# DHCP broadcasty
#$IPTABLES -A INPUT -i $INET_IFACE -p UDP --sport 67 -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p UDP --sport 68 -j ACCEPT

#$IPTABLES -A INPUT -i $INET_IFACE -d 255.255.255.255 -p UDP --sport 67 -j LOG -m limit --limit 10/m --log-prefix="DHCP broadcast packet: "
#$IPTABLES -A INPUT -i $INET_IFACE -d 255.255.255.255 -p UDP --sport 68 -j LOG -m limit --limit 10/m --log-prefix="DHCP broadcast packet: "
#$IPTABLES -A INPUT -i $INET_IFACE -s 10.117.68.239 -d 255.255.255.255 -p UDP --sport 67 -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -s 10.117.68.239 -d 255.255.255.255 -p UDP --sport 68 -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -s 10.117.255.102 -d 255.255.255.255 -p UDP --sport 67 -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -s 10.117.255.102 -d 255.255.255.255 -p UDP --sport 68 -j ACCEPT

# Nejprve se zbavime nezadoucich adres
$IPTABLES -A INPUT -i $INET_IFACE -j IN_FW

# Pravidla pro povolene sluzby 
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT  #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 22 -j ACCEPT  #SSH server
#$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT  #DNS server UDP
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT  #DNS server TCP
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT  #WWW server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 8080 -j ACCEPT  #Zope server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 110 -j ACCEPT #POP3 server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 143 -j ACCEPT #IMAP server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 411 -j ACCEPT #DC server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT #HTTPS server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 873 -j ACCEPT #rsync server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 3389 -j ACCEPT #RDP

# ProFTPd
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 11121 -j ACCEPT  #FTP server CONTROL
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 59152:59154 -j ACCEPT  #FTP server DATA

# PostFix
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport smtp -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport smtps -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport submission -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport imaps -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport pop3s -j ACCEPT

# Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
# vest k prodlevam pri navazovani nekterych spojeni. Proto jej
# sice zamitneme, ale tak, aby nedoslo k nezadoucim prodlevam.
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server
#$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j ACCEPT

# Propoustime pouze ICMP ping
$IPTABLES -A INPUT -i $INET_IFACE -p ICMP --icmp-type echo-request -j ACCEPT

# Propoustime taky UDP Traceroute
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --sport 32769:65535 --dport 33434:33525 -j ACCEPT

# Loopback neni radno omezovat
$IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT


# Stejne jako pakety z lokalni site, jsou-li urceny pro nas
$IPTABLES -A INPUT -i $LAN1_IFACE -d $LAN1_IP -j ACCEPT
$IPTABLES -A INPUT -i $LAN1_IFACE -d $INET_IP -j ACCEPT

# Broadcasty na lokalnim rozhrani jsou take nase
$IPTABLES -A INPUT -i $LAN1_IFACE -d $LAN1_BCAST -j ACCEPT

# Broadcasty od modemu jsou take nase
#$IPTABLES -A INPUT -i $LAN1_IFACE -d $LAN1_BCAST -j ACCEPT

Tak jsem to sem dal, ale ja z toho nejsem vubec moudry

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Vaše jméno
Váš email
Typ požadavku

Slovní popis