abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky

inzerujte » Pracovní nabídky
systemd 251
dnes 17:00 | Nová verze

Po pěti měsících vývoje od vydání verze 250 byla vydána nová verze 251 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 0
HP Dev One, notebook od HP s AMD Ryzen a předinstalovaným Pop!_OS Linuxem
dnes 15:44 | IT novinky

HP ve spolupráci se System76 představil 14" notebook HP Dev One s procesorem AMD Ryzen 7 PRO a předinstalovaným Pop!_OS Linuxem.

Ladislav Hagara | Komentářů: 0
Rust 1.61.0
dnes 15:00 | Nová verze

Byla vydána verze 1.61.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0
Uncurled: zkušenosti s dlouhodobou správou open-source projektu (curl)
19.5. 00:33 | Zajímavý článek

Správce nástroje curl Daniel Stenberg na GitHubu průběžně vytváří svou novou knihu Uncurled, v níž shrnuje své dlouhodobé zkušenosti s údržbou open-source projektu: od odpozorovaných pouček po vtipné a ne až tak vtipné příklady e-mailů od uživatelů.

Fluttershy, yay! | Komentářů: 17
Erlang/OTP 25.0
19.5. 00:22 | Nová verze

Byla vydána nová major verze 25.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 3
Deno 1.22
19.5. 00:11 | Nová verze

Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript a TypeScript, bylo vydáno ve verzi 1.22. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Red Hat Enterprise Linux (RHEL) 9.0
18.5. 18:22 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu (RHEL) 9.0. Vedle nových vlastností a oprav chyb přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8
Lars Knoll odchází z The Qt Company
18.5. 14:00 | Komunita

Lars Knoll oznámil, že po 25 letech v ekosystému Qt, z toho 22 let pracující pro různé společnosti vlastnící Qt, odchází ze společnosti The Qt Company do malého norského startupu.

Ladislav Hagara | Komentářů: 7
Turing Pi 2 Cluster Computer
18.5. 13:22 | Zajímavý projekt

Na Kickstarteru běží kampaň na podporu mini ITX desky Turing Pi 2 Cluster Computer. Vložením 4 výpočetních modulů, podporovány jsou Raspberry Pi 4, Turing RK1 a Nvidia Jetson, lze získat 4uzlový cluster. Cena desky je 219 dolarů.

Ladislav Hagara | Komentářů: 2
Pozvánka na 198. sraz OpenAltu v Brně
18.5. 10:00 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 198. brněnský sraz, který proběhne v pátek 20. května tradičně od 18 hodin v Pivovarské restauraci Moravia.

Ladislav Hagara | Komentářů: 2
Centrum | Napsat | Starší
navrhněte » Anketa
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (61%)
 (15%)
 (24%)
Celkem 306 hlasů
 Komentářů: 26, poslední včera 15:03
Rozcestník
AbcLinuxu
HDmag.cz
AbcLinuxu:/ Poradna / Linuxová poradna / iptables a ulozenie zmien
Štítky: firewally, FTP, HTML, Internet, iptables, KDE, práva, RPM, textové editory, urpmi, Vim, web


Dotaz: iptables a ulozenie zmien

12.8.2003 11:32 peter vachan | skóre: 4
iptables a ulozenie zmien
Přečteno: 183×
Zdravím všetkých
mám tu jeden problém s konfiguráciou iptables. doteraz mi na RH 9 bezali ipchains a chcem to zmenit na iptables.
v /etc/sysconfig/iptables si nadefinujem pravidlá(input a forward=drop, output=accept atď.) podľa ktorých to budem filtrovať.
zadám "service ipchains stop"
nato "service iptables start" a tu je prvy problem.
vypise mi hlasku ze aplikovanie pravidiel sa nezaviedlo,
mám skúsiť "iptables-restore -h" pre pomoc. po zadani prikazu sa nic nedeje.
skusam zadat "/etc/rc.d/init.d/iptables save" a v tom mi to vsetko v /etc/sysconfig/iptables" prepise nasledovne: input,output a forward=accept.
co s tym robit aby som nebol otvoreny pre cely svet, ked uz nechcem pouzivat ipchains???
diki moc uz teraz.
peter
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.8.2003 11:48 RWS
Rozbalit Rozbalit vše iptables a ulozenie zmien
Rekl bych, ze problem je v tom, ze ipchains a iptables nemuzou byt soucasne a protoze jsi mel nahozeny ipchains, tak se zavedly i moduly pro ipchains. Odstran ipchains moduly pomoci rmmod (lsmod se podivej, ktery moduly mas nahrany), pak prejmenuje /etc/sysconfig/ipchains na neco jinyho treba ipchains.bak (pak se pri startu nebude spoustet ipchains, protoze se nenajde konfigurak ipchains) a pak se zkusi spustit iptables (nebo si musis udelat link v /etc/rc3.d) a to si nahodi potrebny moduly.

iptables-save slouzi k vypsani aktualnich pravidel ve formatu, ve kterem je /etc/sysconfig/iptables, takze staci presmerovat vystup. Ale muzes si je samozrejme napsat sam v /etc/sysconfig/iptables a pak se ti budou spoustet

12.8.2003 12:36 peter vachan | skóre: 4
Rozbalit Rozbalit vše iptables a ulozenie zmien
to s tym modom moze byt pravda,ale tento isty problem mam aj na masine, kde je od novoty nainstalovany RH 9 a tie zmeny mi neakceptuje.
iptables vzdy spustam po restarte s tym, ze pred restartom ten subor ipchains premenujem na ipchains_old.
potom zadam "service ipchains status" a vypis nemam ziaden, takze z toho usudzujem, ze ipchains nenabehly. po "service iptables status" vypis ukazuje, ze neboli nahrane ziadne pravidla.
mozno mam zly zapis pravidiel v /etc/sysconfig/iptables.
su priblizne v tomto tvare:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FOWARD DROP

iptables -A INPUT -p ALL -i eth0 -j ACCEPT
iptables -A INPUT -p ALL -i lo -j ACCEPT
iptables -A INPUT -j LOG

iptables -A INPUT -p ICMP -i eth1 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth1 --icmp-type 11 -j ACCEPT

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state \ --state ESTABLISHED,RELATED -j ACCEPT

peter
12.8.2003 12:59 RWS
Rozbalit Rozbalit vše iptables a ulozenie zmien
No, obavam se, ze problem je v tom, ze jakmile se spusti /etc/init.d/ipchains (s jakym kolik parametrem), tak se hned nahraje modul ipchains a pak uz nelze pracovat s iptables. Mozna bude lepsi uplne ipchains vyradit, mozna i odinstalovat rpm -e ipchains, to bude uplne nejjistejsi. Zkus odinstalovat ty ipchains (stejne je nepotrebujes).
12.8.2003 13:14 peter vachan | skóre: 4
Rozbalit Rozbalit vše iptables a ulozenie zmien
odinstalovat ipchains mozem, ale mam z toho strach, lebo neviem ci mam ten iptables-konfigurak spravne napisany a ze by to malo v pohode fungovat, lebo si nemozem dovolit otvorit sa svetu.
uz raz som mal navstevu a nechcel by som to zopakovat.
peter
12.8.2003 14:49 RWS
Rozbalit Rozbalit vše iptables a ulozenie zmien
Hmmm, ok stahni si balik ipchains (ten ktery mas ted nainstalovany) z ftp k sobe. Odinstaluj rpm -e ipchains, zkus spustit iptables, kdyz to nepujde, tak stopni iptables, a znovu nahod ipchains rpm -i ipchains...rpm

Jinak by mozna nebylo od veci poradne nastudovat iptables a pripadne si to testovat na nejakym jinym stroji. Prakticky si vezmy kazdy pravidlo z ipchains a uprav ho na iptables a mel bys mit jistotu, ze mas fw bezpecny. Rozhodne bych ti doporucil na iptables prejit.

12.8.2003 13:21 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše iptables a ulozenie zmien
Protože tam píšeš nesmysly mě to funguje a vždy. V /etc/sysconfig/iptables musí být to zapsáno takto: 
# Generated by iptables-save v1.2.7a on Mon Jun 30 16:47:32 2003
*filter
:INPUT DROP [5:706]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[0:0] -A INPUT -d 127.0.0.0/255.0.0.0 -i eth0 -j LOG --log-level 6 
[0:0] -A INPUT -d 127.0.0.0/255.0.0.0 -i eth0 -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A INPUT -i lo -j ACCEPT 
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[0:0] -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A INPUT -d 192.168.3.67 -j LOG --log-level 6
Atak dále......... Takže když tam máte nesmysly tak se nedivte. Jednoduše v /etc/rc.d/init.d zadáme ./ipchains stop smažeme veškeré moduly kolem ipchains (rmmod) no potom napíšeme pravidla firewalu (já je píšu do skriptu abych nemusel je pokaždé změně všechny psát) takže je tam nadatlujeme iptables ......... no a potom provedeme ./iptables save tím se uloží do toho konfiguračního souboru, a zda to funguje můžeme vyskoušet ./iptables start, stop, restart :-) No a poslední krok ve všech, (nebo jenom v určitých) runlevelech zajistit aby startoval iptables a né ipchains třeba redhat-config-services :-) Já jsem třeba kompletně odinstaloval balíček ipchains :-)
12.8.2003 14:01 Aloner | skóre: 24 | blog: Aloner | Praha
Rozbalit Rozbalit vše iptables a ulozenie zmien
No pokud vim, tak v RedHatu je uplne nejjednodussi pro zprovozneni firewallu pres IPTABLES, spustit utilitku SETUP. Pokud si vzpominam, je tam menu se seznamem sluzeb, ktere se spousti, mezi jinymi take IPCHAINS a IPTABLES. V tomto pripade tam bude zaskrtnuto IPCHAINS a nezaskrtnute bude IPTABLES. Odskrtnete IPCHAINS a misto toho zaskrnete IPTABLES. Pak zrestartujte pocitac a vytvorte si pravidla pro IPTABLES. Pravidla si ulozte pomoci klasickeho stop, save, start. A pak to jede bez problemu a neni nutne zbesile neco odinstalovavat apod. Co se tyce pravidel, existuji spousty materialu kde se inspirovat, napr. www.petricek.cz
12.8.2003 14:25 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše iptables a ulozenie zmien
To moje funguje bez restartu pouze třeba unload moduly ipchains. :-) PS. Něco jsem se pokusil sepsat http://soban.wz.cz/linux/firewall.html pokud to někomu pomůže. PPS. Samozřejmě restart je pro BFU jednoduší než rmmod :-(
12.8.2003 15:01 peter vachan | skóre: 4
Rozbalit Rozbalit vše iptables a ulozenie zmien
podľa zapisu Vasho scriptu usudzujem, ze je pisany pre jednu sietovku.
ja to potrebujem napisat pre router s dvoma sietovkami(eth0=LAN,eth1=INET) bez pridelenej pevnej verejnej IP adresy(pri kazdom pripojeni nam da nas provider inu).
je treba zahadzovat aj pakety na vystupe,ked pochadzaju z mojho stroja??nemoze tam byt accept???
chcem si najskor napisat scriptik a az potom to vsetko preklopit a nie som si celkom isty spravnostou zapisu "-A INPUT -p ALL -i eth0 -j ACCEPT" ci znamena, ze prepusti vsetko len na vstupe eth0, ak predtym je INPUT DROP a to iste aj v pripade FORWARD-u, kde nahradim v zapise INPUT za FORWARD.
12.8.2003 15:28 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše iptables a ulozenie zmien
Pokud jsem to pochopil tak tam pravidla máš, v ipchains tak si je pro začátek přepiš do iptables a potom upravuj. Jinak pouštět všecko i když z určité síťovky není zrovna bezpečné, spíše tam povoluj co třeba. 

zde zakazu všechno kromě tedy output
# Firevall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP

zde zakazu z sitovky se pripojit na vyhrazenou IP a loguji si to.
/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j LOG --log-level 6
/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j REJECT

zde povolím loopback zařízení

# local
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

No a potom povoluji co má být přístupné všem

# WWW
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Prostě každý si musí napsát vlastní pravidla které budou vyhovovat konkrétnímu nasazení
12.8.2003 15:53 Michal Buchtík | skóre: 13 | Boršice
Rozbalit Rozbalit vše iptables a ulozenie zmien
tyto příkazy si ulož do nějakého souboru a ten pak spouštěj jako skript (např. pokud tam uděláš nějaké změny)
až to budeš mít odladěné, tak dej service iptables save a pravidla se uloží do /etc/sysconfig/iptables, odkud se natahují při startu služby iptables

Michal
13.8.2003 13:47 peter vachan | skóre: 4
Rozbalit Rozbalit vše iptables a ulozenie zmien
tak ten subor s pravidlami by som uz mal hotovy.
kedze som v linuxe zaciatocnik, tak by som este od Vas potreboval vediet ako to cele spustim.
ako vyzera zaciatok a koniec takeho skriptu???
pomenoval som ho napr. rules.sh a skusobne ulozil na /root, skusal som zadat cestu k nemu s prikazom run, ale nic sa neudialo.ten run som si len tipol, skusil som to aj v X-och poklepanim, ale zasa nic.
moze mi niekto poradit ako to spustit???
diki
13.8.2003 14:16 Michal Buchtík | skóre: 13 | Boršice
Rozbalit Rozbalit vše iptables a ulozenie zmien
na začátek souboru dej řádek #!/bin/bash a nastav mu práva na spuštění (chmod +x rules.sh) pak stačí na něj poklepat v X nebo na přík. řádku napsat /root/rules.sh
12.8.2003 15:58 petrh
Rozbalit Rozbalit vše iptables a ulozenie zmien
Pokud pracujete v GUI muzu vrele doporucit pro nastaveni iptables programek Guarddog na adrese www.simonzone.com/software/guarddog/

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Píšeme jinde
ISSN 1214-1267   www.czech-server.cz
Redakce | Inzerce | Podmínky použití | Osobní údaje
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.