Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-11-20 01:31:16
puchatek007 - 
Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Firewall + HTB
Witajcie.
Mam duuuuży problem.
Jest taka sytuacja i jej narazie nie moge zmienić.
Mam sieć na DSL 1/256. Na nim jedyne 80 osób :(.
Tak wiem, koszmar ale naarzie nic z tym nie zrobie, dopiero w styczniu.
Postawiony serwer na debianie.
Napsiałem firewalla i regułki HTB.
Moja prośba to luknijcie na nie i napiszcie czy są OK, co by zmienić żeby było lepiej.
Oto skrypty:
http://orlinet.internetdsl.pl/firewall.txt
http://orlinet.internetdsl.pl/htb.txt
THX
...::: Lucky Look :::...
Offline
#2 2005-11-20 01:57:43
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne
to pierwsze moje spostrzeżenie :)
Zarejestrowany użytkownik Linuksa #361563
Offline
#3 2005-11-20 06:58:32
zlyZwierz - Moderator
Re: Firewall + HTB
hmm czyli wg proporcji na moim obecnym laczu moge pociagnac 800 osób , a po jutrze 960 - miło słyszec [;
oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie (20*160 > 2048) - braknie łącza
uploadu chyba nie ograniczasz ..
ach ci "prowajderzy" i ich radjufki ;]
a potem ludzie słyszą internet radiowy i kręcą nosem
PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach
Offline
#4 2005-11-20 10:36:06
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
powyższ ustawienia twojej zapory mówią o tym że wszyskie inne wpisy w pliku firewall nie mają sensu. Zasada budowania zapory jest taka, że wszysktko blokujesz a potem dopiero otwierasz to co ci jest potrzebne
to pierwsze moje spostrzeżenie :)
Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).
oh fuck ..w htb dałes każdemu rate 160 kbit ;] fajnie, tylko co zrobi biedne htb jak 20 userów zacznie (20*160 > 2048) - braknie łącza
uploadu chyba nie ograniczasz ..
PS wrzuc to do bazy mysql ... jak podepniesz kolejne 80 osób na tego DSLa to samo poprawianie skryptu firewalla Cie zabije ;] , nie mówiąc o klientach
Napis zmi jakie najlepiej dać rate. Jeżeli suma poszczególnych ma być <= rate łącza no to wychodzi po ok 10kbit :(.
A może dało by się jakoś inaczej to zrobić, np poograniczać usługi do xkbit (w tym zakichane p2p).
No włąśnie na uploadzie mi najbardziej zależało. Jego jakoś przyciąć każdemu, na DSL wystarczy wysyłąć poczte na max i sieć pada :(, dlatego chciałem każdemu dać max 7kb/s na upload (a na p2p najlepiej 1kb/s ale niewiem jak wyodrębnić p2p :( )
Wiem że wpisywanie tych poleceń to koszmar :D. Do firewalla mam skrypt co mi to wszystko tworzy, do htb jeszcze nie, ale też będzie jak zacznie to działać.
...::: Lucky Look :::...
Offline
#5 2005-11-20 11:16:45
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
Ale jak miałem DROP zamiast ACCEPT to w momencie : ./firewall stop traciłem z serwerem kontakt poprzez ssh i zostawał twardy reset.
Napisz mi jak możesz co mam zmienić, gdy dam DROP na początku, tak żeby mi po wyłączeniu firewala niezamknął dostępu poprzez ssh. (serw stoi juz w piwnicy i niemam zbytnio do niego dostępu).
polityke INPUT i FORWARD zmień na DROP a w częsci STOP twojego skryptu dopisz
iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s IP_SERWERA -d IP_TWOJEGO_KOM -p udp --dport 22 -j ACCEPT
edit:
wpisy oczywiści po regułach czyszczących
Zarejestrowany użytkownik Linuksa #361563
Offline
#6 2005-11-20 11:46:06
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
Wprowadzając te zmiany net zamarl w sieci :(
Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??
...::: Lucky Look :::...
Offline
#7 2005-11-20 11:53:06
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
Wprowadzając te zmiany net zamarl w sieci :(
Połączenie ssh było, ale net zmarł.
Na samym końcu firewalla jest jedna komenda, moze ją tzreb awyrzucić??
no to jasne że zamarł, chciałeś tylko ssh...
Zarejestrowany użytkownik Linuksa #361563
Offline
#8 2005-11-20 11:57:58
puchatek007 - Użytkownik
- puchatek007
- Użytkownik
- Skąd: Częstochowa
- Zarejestrowany: 2005-11-07
Re: Firewall + HTB
hehe tak ale to po stopie. Ale jak dałem start to też neta nie było :( (to przez te DROP na poczatku)
PS. Co mam dodać do firewalla żebym z serwera mógł puszczać pingi w net, w sieć moge a np na wp nie :(.
...::: Lucky Look :::...
Offline
#9 2005-11-20 12:39:34
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Firewall + HTB
dobry opis
http://www.dug.net.pl/texty/masq.php
Zarejestrowany użytkownik Linuksa #361563
Offline