abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 08:00 | Nová verze

Byla vydána verze 1.53.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 1
včera 22:33 | Nová verze

Na GOG.com lze do soboty 19. června získat zdarma počítačovou hru Absolute Drift (YouTube).

Ladislav Hagara | Komentářů: 2
včera 21:00 | Bezpečnostní upozornění

Bezpečnostní výzkumníci odhalili zásadní slabinu v šifrovacích algoritmech GEA-1 a GEA-2 používaných mobilními zařízeními. Jejich podezření, že slabina nevznikla náhodou, ale zcela úmyslně, s cílem zjednodušit útok na uživatele, posléze mluvčí autorů algoritmu (ETSI) potvrdil.

JiK | Komentářů: 10
včera 16:22 | Nová verze

Wasmer byl vydán ve verzi 2.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0
včera 09:00 | IT novinky

Josef Průša představil novou vylepšenou SLA 3D tiskárnu Original Prusa SL1S SPEED. Její cena je 49 990 Kč. S mycí a vytvrzovací stanicí 64 990 Kč.

Ladislav Hagara | Komentářů: 1
včera 08:00 | Nová verze

Byla vydána nová verze 1.32.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu věnuje Thomas Haller.

Ladislav Hagara | Komentářů: 2
včera 07:00 | Nová verze

Bylo vydáno Eclipse IDE 2021-06 aneb Eclipse 4.20. Představení novinek tohoto vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0
16.6. 23:11 | IT novinky

Měsíční kampaň Bulánci se vrací na Startovači na podporu vývoje nové verze dnes již dvacetileté počítačové hry Bulánci skončila. Vybráno bylo 7 308 770 Kč. Požadováno bylo 500 000 Kč.

Ladislav Hagara | Komentářů: 15
16.6. 18:33 | Zajímavý článek

Nakladatelství Raspberry Pi vydalo knihu The Computers That Made Britain věnovanou domácím počítačům z osmdesátých let (ZX Spectrum, BBC Micro, Commodore 64, …). Tištěnou verzi lze koupit za 12 liber. Elektronická verze je ke stažení za libovolnou částku, také zdarma (pdf).

Ladislav Hagara | Komentářů: 0
16.6. 13:11 | IT novinky

Na Indiegogo byla spuštěna kampaň na podporu linuxového tabletu JingPad A1 s předinstalovaným JingOS. Cena začíná na 549 dolarech.

Ladislav Hagara | Komentářů: 8
Používáte kalkulačku?
 (9%)
 (30%)
 (61%)
 (28%)
 (12%)
Celkem 220 hlasů
 Komentářů: 25, poslední dnes 07:59
Rozcestník

Dotaz: iptables, kde mám chybu ?

5.9.2005 19:56 BlackShark | skóre: 15 | blog: windows
iptables, kde mám chybu ?
Přečteno: 77×
Zdravím, Vás. Chtěl jsme si zkusit nastavit sám iptables (doposud se o to stará shorewall, který bych rád odstranil), ale narazil jsem na problém. Přečetl jsem si spoustu diskusí zde i článek na root ( stavíme firewall ) a dokonce i něco v knize ( Linux kompletní příručka administrátora ), ale stále nemohu přijít na to, kde mám ve skriptu chybu. iptables nastavuji na serveru, ke kterému je připojeno 6 pc v síti 192.168.0. Server má rozhraní eth0( internet IP z DHCP (AA.BB.CC.DD) ) a eth1 ( lokální síť ). Po nastavení iptables ( viz. níže ) nemohu ze serveru ( ani z lokálních pc ) na internet ( http, ping ). Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net ? Moc by mi to pomohlo ... díky...
#!/bin/sh

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

iptables -A INPUT -p all -i eth1 -j ACCEPT
iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A INPUT -j LOG

iptables -A OUTPUT -p all -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT
iptables -A OUTPUT -j LOG

iptables -A FORWARD -i eth1 -j ACCEPT 
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Odpovědi

5.9.2005 20:00 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Skript jsem moc nezkoumal :-), ale máš povolené forwardování? /proc/sys/net/ipv4/ip_forward
5.9.2005 20:04 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Jo to je povolené. Směrovací tabulky jsou taky OK.
Heron avatar 5.9.2005 20:17 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net? Moc by mi to pomohlo

problem muze byt jedine v iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT. Mas nejaky duvod filtrovat pakety z toho kompu?

5.9.2005 20:32 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Asi to bude blbost, ale mám to tam, protože jsem si myslel, že pokud to tam nedám, tak mi to ty packety ven nepustí.
Heron avatar 5.9.2005 20:35 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?

pokud tam nebude iptables -P OUTPUT DROP tak pusti urcite ;-)

5.9.2005 20:37 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Koukni se do logu, jaké pakety ti to zahazuje. Kdyžtak přidej -j LOG i do FORWARD a dej ke každému LOGu jiný prefix ať poznáš kde ten paket "propadnul", třeba:
iptables -A INPUT -j LOG --log-prefix INPUT-DROP
iptables -A OUTPUT -j LOG --log-prefix OUTPUT-DROP
iptables -A FORWARD -j LOG --log-prefix FORWARD-DROP
5.9.2005 20:52 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
To má jeden háček. Do jakého logu ? Našel jsem zmínky ve více souborech. /var/log/daemons/* /var/log/syslog /var/log/kernel/* ... a nejsem z nich vůbec chytrej. Kde mám ty logy heldat ?
5.9.2005 20:58 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?

IMHO je chyba v tom, že pro spojení ze serveru nemáš povolen INPUT (chybí něco jako iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT) a pro spojení z vnitřní sítě zase není povolen OUTPUT (respektivě je povolen pro jediný počítač 192.168.0.1, ne síť)

Každý má právo na můj názor!
5.9.2005 21:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Řetězcem OUTPUT jsou filtrovány pouze lokálně generované pakety, ne průchozí (jako tomu bylo u ipchains).
5.9.2005 22:07 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Řetězcem OUTPUT jsou filtrovány pouze lokálně generované pakety, ne průchozí (jako tomu bylo u ipchains).

Myslel jsem si to, ale pak mě nenapadal důvod, proč mu nefunguje spojení z té vnitřní sítě ;-)

Každý má právo na můj názor!
5.9.2005 21:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
  1. V řetězci OUTPUT jsou pouze pakety, které jste vyrobil sám, nemá tedy smysl kontrolovat zdrojovou IP adresu. Nemáte-li k tomu nějaký zásadní důvod, nedoporučoval bych OUTPUT vůbec filtrovat.
  2. Jak už zde padlo, v řetězci INPUT povolujete zvenku pouze ICMP pakety (typy 0,3,8,11), takže neprojdou odpovědi na vámi generované pakety. Řešení už bylo naznačeno.
  3. Na začátku promažte raději i tabulku nat, příkazem 'iptables -F' mažete pouze obsah řetězců v tabulce filter
  4. Pravidlo pro maškarádu omezte raději jen na pakety s adresami, které maškarádovat opravdu chcete.
5.9.2005 23:02 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Všem díky za odpovědi. Věřím, že teď už bych to mohl dát dohromady.
6.9.2005 09:09 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Zdravim

Pokud nezadas tabulku, tak defaultni je filter. to znamena, ze prikazem "iptables -F" smazes jen tabulku filter, takze musis mit:

iptables -F -t filter

iptables -F -t mangle

iptables -F -t nat

Ze zacatku bych urcite zacal tim, ze vsechny chainy povolis

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

a nechas tam jen maskaradu

iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Melo by to chodit, pak zkus dat policy na DROP a pridavat jednotlivy pravidla.

Doporucuju skouknout petrickouv firewall, nazhav strejdu googla.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
6.9.2005 13:23 Juraj
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Skus sa pozret aj na toto: http://deja-vix.sk/sysadmin/firewall.html#top

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.