Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2006-03-17 14:45:07

  pk111 - Użytkownik

pk111
Użytkownik
Skąd: Raciążek
Zarejestrowany: 2005-07-20
Serwis

iptables+proftpd

probuje sobie napisac firewall,ktory bedzie mi wpuszczal uzytkownikow na serwer proftpd ,odblokowujac port 21 (tam mam w konfigu serwera ustawione),pisze wiec:

iptables -P INPUT DROP   #odrzucanie pakietow z zewnatrz
iptables -P FORWARD DROP #bez przekazywania
iptables -P OUTPUT ACCEPT #na wyjsciu wszystko otwarte

#otwieram wchodzenie przez port 21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT

no i loguje sie raz na kilka prob w ten sposob,jak dopisze konkretne ip naprzyklad:

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

to loguje sie blyskawicznie z tego ip,
co zrobic ,zeby bez wpisywania wszystkich ip mozna bylo tez tak szybko sie logowac ??czy procz portu 21 ktores inne porty musze jeszcze otworzyc??co zrobic ,zeby firewall wszystkich tak szybko wpuszczal bez podawania ip kazdego?

Offline

 

#2  2006-03-17 14:56:21

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: iptables+proftpd

probuje sobie napisac firewall,ktory bedzie mi wpuszczal uzytkownikow na serwer proftpd ,odblokowujac port 21 (tam mam w konfigu serwera ustawione),pisze wiec:

iptables -P INPUT DROP   #odrzucanie pakietow z zewnatrz
iptables -P FORWARD DROP #bez przekazywania
iptables -P OUTPUT ACCEPT #na wyjsciu wszystko otwarte

#otwieram wchodzenie przez port 21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT

no i loguje sie raz na kilka prob w ten sposob,jak dopisze konkretne ip naprzyklad:

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

to loguje sie blyskawicznie z tego ip,
co zrobic ,zeby bez wpisywania wszystkich ip mozna bylo tez tak szybko sie logowac ??czy procz portu 21 ktores inne porty musze jeszcze otworzyc??co zrobic ,zeby firewall wszystkich tak szybko wpuszczal bez podawania ip kazdego?

iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d xx.xx.xx.xx --destination-port 21

xx.xx.xx.xx - ip twojego serwera FTP
eth0 - to karta od ip xx.x.xx.xx

Offline

 

#3  2006-03-17 15:12:17

  pk111 - Użytkownik

pk111
Użytkownik
Skąd: Raciążek
Zarejestrowany: 2005-07-20
Serwis

Re: iptables+proftpd

dzieki pomoglo:)

Offline

 

#4  2006-03-17 15:47:21

  pk111 - Użytkownik

pk111
Użytkownik
Skąd: Raciążek
Zarejestrowany: 2005-07-20
Serwis

Re: iptables+proftpd

nie pomoglo jednak,nie zauwazylem ze wpis z ip jest nie odhaszowany,co moge innego dopisac?

Offline

 

#5  2006-03-17 17:32:50

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: iptables+proftpd

weź kolego pokaż twój cały skrypt bo to co ci wysłałęm powinno chodzić

Offline

 

#6  2006-03-17 17:46:42

  pk111 - Użytkownik

pk111
Użytkownik
Skąd: Raciążek
Zarejestrowany: 2005-07-20
Serwis

Re: iptables+proftpd

#!/bin/bash

#czyscimy stare reguly
iptables -F   #oprozniamy wszystkie lancuchy
iptables -X   #kasujemy wszystkie lancuchy

#zamykamy wszystko co przychodzi do nas ,otwieramy tylko ruch wychodzacy
iptables -P INPUT   DROP    #odrzucamy wszystko co przychodzi
iptables -P FORWARD DROP    #odrzucamy przekazywanie 
iptables -P OUTPUT  ACCEPT  #zezwalamy na wychodzenie pakietow

#zezwalamy na transfer z ftp
iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d 192.168.0.5 --destination-port 21

#dodajemy DNSy
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -j ACCEPT

#wpuszczanie konkretnego uzytkownika
#iptables -A INPUT -s 192.168.0.1 -j ACCEPT

#zezwalamy na pingi
iptables -A INPUT -p icmp -j ACCEPT

#zezwalamy na pakiety z petli zwrotnej(localhost)
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

Offline

 

#7  2006-03-17 18:04:06

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: iptables+proftpd

#FIREWALL
iptables -F
iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#Akceptowanie połączeń już nawiązanych
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

#Akceptowanie interfejsu loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#otwarcie portu 21, na którym pracyje SSH
iptables -A INPUT -i eth1 -p tcp -j ACCEPT -m state –state NEW -d 192.168.16.10 –destination-port 21


Ale to ma być erwer w sieci lokalnej czy zdalnej bo to wsio jest istatne

Offline

 

#8  2006-03-17 18:23:11

  pk111 - Użytkownik

pk111
Użytkownik
Skąd: Raciążek
Zarejestrowany: 2005-07-20
Serwis

Re: iptables+proftpd

dzięki teraz juz ruszyło ,narazie tylko po sieci lokalnej bo nie mam zewnetrznego ip,jakbym je dostał co zmienić ,zeby serwer byl widoczny w calej sieci??

Offline

 

#9  2006-03-17 20:14:56

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: iptables+proftpd

tak samo robisz i na zewnątrz tylko Ip inne no i NAT czy co tam masz innego

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)