ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
biznaלא בפורום כעת ת.הצטרפות: 10/08/2003 · הודעות: 641 · מיקום: פרדס חנה
 

הודעה פורסם: 18/02/2004 - 19:42
5 נושא ההודעה: פתיחת פורטים בiptables לאחר REJECT כללי

השרת שלי מריץ דביאן סארג', ומתפקד בתור ראוטר+פיירוול+שרת קבצים לשני מחשבים אחרים. אה, והוא גם דרך נפלאה לשרוף כמה שעות בהגדרות שגויות...
לאחר הכנסת 2 השורות הבאות:
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 0:5000 -j REJECT
$IPTABLES -A INPUT -i $EXTIF -p icmp -j REJECT
לא ניתן להפעיל את apt-get או להתחבר אל המחשב בssh מחוץ לרשת הפנימית.
השורה הראשונה חוסמת את פורטים 0 עד 5000, ואילו השנייה הופכת את המחשב ל"בלתי נראה" לפינגים מהרשת החיצונית.
ניסיתי לפתוח פורטים (80 וגם 21 בשביל apt-get) באופן ספציפי אבל זה לא עבד, אז ניסיתי לעשות דבר אחר: אחרי השורה הראשונה, שמתי בדיוק את אותה השורה עם ACCEPT, ולהפתעתי גיליתי כי המערכת עדיין סגורה.
מוזר.
ואם כבר, אז האם ניתן להגדיר כלל בiptables שלא יאפשר לכל פריק ברשת לראות את הפרטים של הסמבה שלי?
בתודה,
דותן
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם Yahoo Messenger MSN Messenger מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
mksoftלא בפורום כעתSite Admin ת.הצטרפות: 17/03/2002 · הודעות: 10514 · מיקום: כדור הארץ
 

הודעה פורסם: 18/02/2004 - 20:02
נושא ההודעה:

ה-ACCEPT לפורט ספציפי צריך להיות לפני ה-REJECT הכולל. מתבצע מעבר על הטבלה עד שנמצא כלל מתאים, ברגע שנמצאה התאמה החיפוש נפסק (בגדול, יש יוצאים מהכלל, כמו LOG וכדו').
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית שלח דוא\ ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/02/2004 - 09:10
נושא ההודעה:

למה אתה מתכוון בקשר לסמבה?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
biznaלא בפורום כעת ת.הצטרפות: 10/08/2003 · הודעות: 641 · מיקום: פרדס חנה
 

הודעה פורסם: 22/02/2004 - 09:45
1 נושא ההודעה: הבעיה נפתרה

הבעיה נפתרה!
העניין היה, שאתרים כמו auditmypc.com הצליחו למצוא את שמות המחשבים ברשת הפנימית שלי.
זה לא דבר חיובי, כן?
מה שעשיתי, בניסוי וטעיה (המון טעיה), זה פשוט להוסיף שורה זהה לשורה הראשונה, עם שינוי אחד:
$IPTABLES -A INPUT -i $EXTIF -p udp --dport 0:5000 -j REJECT
במקום tcp עכשיו יש גם שורה עם udp.
מבחינת האתרים הסורקים, הבעיה היחידה במחשב שלי היא העובדה שאני גולש עם דפדפן.
מה לעשות, אף אחד לא מושלם...
דותן
נ.ב.
מי שרוצה את הסקריפט של הפיירוול, שיגיד, ואני אשים אותו כאן.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם Yahoo Messenger MSN Messenger מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/02/2004 - 10:52
נושא ההודעה: Re: הבעיה נפתרה

bizna :
הבעיה נפתרה!
העניין היה, שאתרים כמו auditmypc.com הצליחו למצוא את שמות המחשבים ברשת הפנימית שלי.
זה לא דבר חיובי, כן?
מה שעשיתי, בניסוי וטעיה (המון טעיה), זה פשוט להוסיף שורה זהה לשורה הראשונה, עם שינוי אחד:
$IPTABLES -A INPUT -i $EXTIF -p udp --dport 0:5000 -j REJECT
במקום tcp עכשיו יש גם שורה עם udp.
מבחינת האתרים הסורקים, הבעיה היחידה במחשב שלי היא העובדה שאני גולש עם דפדפן.
מה לעשות, אף אחד לא מושלם...
דותן
נ.ב.
מי שרוצה את הסקריפט של הפיירוול, שיגיד, ואני אשים אותו כאן.


רוצים את הסקריפט Exclamation
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
biznaלא בפורום כעת ת.הצטרפות: 10/08/2003 · הודעות: 641 · מיקום: פרדס חנה
 

הודעה פורסם: 22/02/2004 - 15:13
10 נושא ההודעה:

אין בעיה, "אורח" (?), כשאגיע הביתה אשים כאן את הסקריפט, וגם באתר שלי.
אוקיי?
דותן
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם Yahoo Messenger MSN Messenger מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
biznaלא בפורום כעת ת.הצטרפות: 10/08/2003 · הודעות: 641 · מיקום: פרדס חנה
 

הודעה פורסם: 22/02/2004 - 20:53
1 נושא ההודעה: rc.firewall במלוא הדרו...

קוד:

#############################################
### rc.firewall
### The following script is meant to be ran at startup, after loading
### the network. It does several things:
### 1. Establish a firewall
### 2. Forward all outbound traffic to $EXTIF
#############################################
### Dotan Mazor
### mazor.dotan@idc.ac.il
#############################################
###
### DEFINING VARIABLES
IPTABLES="/sbin/iptables"
EXTIF=eth0
#INTIF=eth0
###
### LOADING REQUIRED MODULES
/sbin/insmod ip_tables
/sbin/insmod ip_conntrack
/sbin/insmod ip_conntrack_ftp
/sbin/insmod ip_conntrack_irc
/sbin/insmod iptable_nat
/sbin/insmod ip_nat_ftp
/sbin/insmod ipt_mark
/sbin/insmod ipt_tcpmss
/sbin/insmod ipt_limit
/sbin/insmod ipt_multiport
/sbin/insmod ipt_state
/sbin/insmod ipt_unclean
/sbin/insmod iptable_filter
/sbin/insmod iptable_mangle
### this little line enables ip forwarding
echo "1">/proc/sys/net/ipv4/ip_forward
###
#####
### This part was commented by someone that knows better then me
#$IPTABLES -P INPUT ACCEPT
#$IPTABLES -F INPUT
#$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -F OUTPUT
#$IPTABLES -P FORWARD DROP
#$IPTABLES -f FORWARD
#$IPTABLES -t nat -F
#$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
#$IPTABLES -A FORWARD -j LOG#
#####
###
### THE FIREWALL PART
##### NOTICE!!! if you want to allow a port to remain open, put the lines
##### with ACCEPT before the lines with REJECT or DROP
###
### This part opens ports for ssh and telnet
#$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 23 -j ACCEPT
###
## Got the next script from the net. it's supposed to block single ports.
## This line blocks all incoming traffic from ports 0 to 5000
## Oh, and it brings the machine to "stealth" mode
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 0:5000 -j REJECT
### the next line blocks the NetBIOS, which is the samba, for the WWW
$IPTABLES -A INPUT -i $EXTIF -p udp --dport 0:5000 -j REJECT
### Commented the next line, because I couldn't find any use for it...
#$IPTABLES -I FORWARD -i $EXTIF -p udp --dport 0:5000 -j DROP
###
### This line drops incoming pings, making the machine TOTALY invisible to the WWW
$IPTABLES -A INPUT -i $EXTIF -p icmp -j REJECT
#######
###
### THE ROUTING PART
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
###
### Most folks won't need this part
### It seems like my outer network won't work if the following line
### isn't present. it restarts the network device:
/sbin/ifdown $EXTIF
/sbin/ifup $EXTIF


מילות מפתח: rc.firewall, חומת אש, iptables, שיתוף רשת, מספר כרטיסי רשת


נערך לאחרונה על-ידי bizna בתאריך 29/10/2005 - 22:17, סך-הכל נערך 2 פעמים
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם Yahoo Messenger MSN Messenger מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/08/2004 - 17:15
נושא ההודעה:

קוד:
#############################################
### rc.firewall
### The following script is meant to be ran at startup, after loading
### the network. It does several things:
### 1. Establish a firewall
### 2. Forward all outbound traffic to $EXTIF
#############################################
### Dotan Mazor
### mazor.dotan@idc.ac.il
#############################################
###
### DEFINING VARIABLES
IPTABLES="/sbin/iptables"
EXTIF=eth0
#INTIF=eth0
###
### LOADING REQUIRED MODULES
/sbin/insmod ip_tables
/sbin/insmod ip_conntrack
/sbin/insmod ip_conntrack_ftp
/sbin/insmod ip_conntrack_irc
/sbin/insmod iptable_nat
/sbin/insmod ip_nat_ftp
/sbin/insmod ipt_mark
/sbin/insmod ipt_tcpmss
/sbin/insmod ipt_limit
/sbin/insmod ipt_multiport
/sbin/insmod ipt_state
/sbin/insmod ipt_unclean
/sbin/insmod iptable_filter
/sbin/insmod iptable_mangle
### this little line enables ip forwarding
echo "1">/proc/sys/net/ipv4/ip_forward
###
#####
### This part was commented by someone that knows better then me
#$IPTABLES -P INPUT ACCEPT
#$IPTABLES -F INPUT
#$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -F OUTPUT
#$IPTABLES -P FORWARD DROP
#$IPTABLES -f FORWARD
#$IPTABLES -t nat -F
#$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
#$IPTABLES -A FORWARD -j LOG#
#####
###
### THE FIREWALL PART
##### NOTICE!!! if you want to allow a port to remain open, put the lines
##### with ACCEPT before the lines with REJECT or DROP
###
### This part opens ports for ssh and telnet
#$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 23 -j ACCEPT
###
## Got the next script from the net. it's supposed to block single ports.
## This line blocks all incoming traffic from ports 0 to 5000
## Oh, and it brings the machine to "stealth" mode
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 0:5000 -j REJECT
### the next line blocks the NetBIOS, which is the samba, for the WWW
$IPTABLES -A INPUT -i $EXTIF -p udp --dport 0:5000 -j REJECT
### Commented the next line, because I couldn't find any use for it...
#$IPTABLES -I FORWARD -i $EXTIF -p udp --dport 0:5000 -j DROP
###
### This line drops incoming pings, making the machine TOTALY invisible to the WWW
$IPTABLES -A INPUT -i $EXTIF -p icmp -j REJECT
#######
###
### THE ROUTING PART
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
###
### Most folks won't need this part
### It seems like my outer network won't work if the following line
### isn't present:
/sbin/ifdown $EXTIF
/sbin/ifup $EXTIF
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
biznaלא בפורום כעת ת.הצטרפות: 10/08/2003 · הודעות: 641 · מיקום: פרדס חנה
 

הודעה פורסם: 08/08/2004 - 16:18
22 נושא ההודעה: כולי שאלה

1. ל"אורח": מה רצית לכתוב?

2. לכל השאר: האם, מעניין, יש למישהו תשובה לגבי הפורטים שצריך לפתוח ל apt-get?

שלב הבא: סקריפט של port-knocking שפותח את הפורט ל ssh למחשב שלי בעבודה בלבד. ב"ה עוד מספר חודשים.

דותן
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם Yahoo Messenger MSN Messenger מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 16/08/2004 - 08:46
נושא ההודעה:

לפעם הבאה שאתה מוסיף קוד תוסיף אותו בחלק של הקוד כמו שאני עשיתי ..
נ.ב איך אני פותח את הפורט 21
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
omriלא בפורום כעת ת.הצטרפות: 24/11/2003 · הודעות: 1148 ·
 

הודעה פורסם: 16/08/2004 - 09:19
נושא ההודעה:

הרבה אנשים עושים את הטעות הזאת
הם שוכחים את הפלאג --syn ולכן נוצר מצב כזה:
iptables -A INPUT -p tcp --dport 0:5000 -j DROP
אני פותח חיבור ל www.whatsup.org.il:80 מפורט 2048 במחשב שלי.
כל פאקט שיישלח מ whatsup.org.il, כולל ACK, "ייזרק" ע"י הפיירוואל
חשוב מאוד לשים את הפלאג --syn כשרוצים לחסום חיבור נכנס, ולא פאקט נכנס.

_________________
Sure linux is user-friendly, it's just picky about who its friends are Smile
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
DL8לא בפורום כעת ת.הצטרפות: 14/01/2004 · הודעות: 783 · מיקום: 127.0.0.1
 

הודעה פורסם: 18/08/2004 - 07:33
נושא ההודעה:

השורה עם ה -p icmp לא חוסמת רק פינגים אלא כל תעבורת ICMP. ודבר אחד לא הבנתי. למה בדיוק לחסום את פורטים 0-5000? יש בהם משהו מיוחד? עצה לי לך:
[iptables -A INPUT -i ! lo m state --state RELATED,ESTABLISHED -j ACCEPT[/code]
יקבל כל תעבורה נכנסת מחיבור שאתה התחלת

אם יש לך יותר מממשק רשת אחד ואתה רוצה לאפשר חיבור למשהו רק מהרשת הפנימית, אתה יכול או להגדיר שיוכלו להכנס אליו רק מהממשק של הרשת הפנימית או להגדיר שהשרת יקשיב רק לכתובת IP שלך ברשת הפנימית

עוד עצה כללית ונחמדה לאבטחה: שים את שרותי הרשת שמקשיבים החוצה על פורטים שהם לא המוסכמים, וככה בעצם אתה מקטין את הסיכוי שקראקרים ימצאו אותם ומקטין את הסיכוי שידעו שזה השרות ההוא אם ימצאו אותו בכל זאת. אני משתמש בשיטה הזאת ואני נהנה מכל רגע Smile
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. bizna
  2. mksoft
  3. אורח
  4. bizna
  5. אורח
  6. bizna
  7. bizna
  8. אורח
  9. bizna
  10. אורח
  11. omri
  12. DL8