Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-05-14 00:31:17
aru - Użytkownik
- aru
- Użytkownik
- Zarejestrowany: 2007-05-13
dhcp i iptables
1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.
2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1
3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?
Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.
Z gory dzieki za pomoc.
Pozdr.
Offline
#2 2007-05-14 12:04:18
el_pilar - 
Użytkownik
- el_pilar
- Użytkownik
- Skąd: Bydgoszcz
- Zarejestrowany: 2006-04-05
Re: dhcp i iptables
1. IPTABLES -A OUTPUT -p udp -i eth1 --sport 67 --dport 68 -j ACCEPT
to rozumiem, z zrodlowego portu 67 serwera wysyla na port 68 klienta (eth1 w strone LAN'u) i jest OK.
ta reguła POZWALA WYJŚĆ pakietom UDP przysłanym z interfejsu ETH1, których port źródłowy to 67 a port docelowy to 68.
Ta reguła nie zmienia portów ani nie wysyła nic na ETH1
2. IPTABLES -A INPUT -p udp -i eth0 -d 255.255.255.255 --destination-port 67:68 -j DROP
nie za bardzo rozumiem, jesli dhcp jest uruchomione na eth1
ta reguła pozwala WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH0 na adres 255.255.255.255
(jest to adres rozgłoszeniowy sieci - broadcast), których porty docelowe to 67 lub 68
3. IPTABLES -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
wlaczylem to i nie zauwazylem roznicy w przydzielaniu adresow IP, wystarczyla u mnie pierwsza regulka - o co chodzi ?
ta reguła pozwala na WCHODZIĆ pakietom UDP przysłanym z interfejsu ETH1 których port źródłowy to 68 a docelowy to 67
Poza tym zauwazylem, ze serwer dhcp przydziela adresy ip niezaleznie od firewalla zaraz przy starcie debiana.
to zależy w którym miejscu startuje firewall, zwykle jest to PO konfiguracji
sieci, więc firewall nic nie zablokuje bo sieć jest już skonfigurowana przez DHCP.
Problem może wystąpić dopiero po wygaśnięciu dzierżawy adresu
bo nie będzie można jej przedłużyć. Oczywiście te regułki mają
jakikolwiek sens tylko w połączeniu z innymi np. iptables -P INPUT DROP
Pozdrawiam
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."
Offline
#3 2007-05-14 13:17:59
aru - Użytkownik
- aru
- Użytkownik
- Zarejestrowany: 2007-05-13
Re: dhcp i iptables
bardzo dziekuje
spotkalem sie z doma sposobami powiazania ip z mac
iptables -A PREROUTING -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -i eth1 -j ACCEPT
iptables -A FORWARD -s X.X.X.X -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
na czym polega roznica ?
nie rozumiem tez dlaczego w wiekszosci skryptow pojawia sie taka regulka:
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
skoro z interfejsu lo nie ma prawa wyjsc zaden pakiet ?
Offline
#4 2007-05-14 14:11:46
el_pilar - Użytkownik
- el_pilar
- Użytkownik
- Skąd: Bydgoszcz
- Zarejestrowany: 2006-04-05
Re: dhcp i iptables
łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.
Co do interfejsu lo to moim zdaniem te wpisy nie mają sensu,
lo wpuszczamy na łańcuchu input.
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."
Offline
#5 2007-05-15 11:17:13
aru - Użytkownik
- aru
- Użytkownik
- Zarejestrowany: 2007-05-13
Re: dhcp i iptables
łańcuchy FORWARD i PREROUTING są w innym miejscu, poza tym
PREROUTING może występować w tylko w połączeniu z nat lub mangle.
Zasada jest taka, że pakiet najpierw wchodzi do PREROUTING i dopiero
potem jest podejmowana decycja czy kierować go do INPUT czy
FORWARD.
Czyli Prerouting dziala na tej samej zasadzie, jak przypisanie do /etc/ethers
IP do MAC i blokuje dostep do serwera tak, ze u klientow nie wstaje nawet TCP/IP - nie maja dostepu do samej sieci z nie zgadzajacymi sie adresami ?
Offline
#6 2007-05-15 20:20:36
el_pilar - Użytkownik
- el_pilar
- Użytkownik
- Skąd: Bydgoszcz
- Zarejestrowany: 2006-04-05
Re: dhcp i iptables
tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."
Offline
#7 2007-05-20 01:04:34
aru - Użytkownik
- aru
- Użytkownik
- Zarejestrowany: 2007-05-13
Re: dhcp i iptables
tak, blokada w PREROUTING -t nat (nie -t mangle) powinna zablokować wszystko
hmm ... zastanawiam sie czy to ma jakikolwiek sens, gdyz i tak trzeba powtorzyc regulki "ip+mac" w filtrze: FORWARD :| (FORWARD NA DROP)
Offline
#8 2007-05-21 07:34:08
el_pilar - Użytkownik
- el_pilar
- Użytkownik
- Skąd: Bydgoszcz
- Zarejestrowany: 2006-04-05
Re: dhcp i iptables
zasadniczo PREROUTING używa się do maskarady, port forwardingu itp a nie do typowego firewalla.
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."
Offline
#9 2007-05-21 11:33:26
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: dhcp i iptables
zasadniczo PREROUTING używa się do maskarady, ....
?
Zarejestrowany użytkownik Linuksa #361563
Offline
#10 2007-05-21 14:37:15
el_pilar - Użytkownik
- el_pilar
- Użytkownik
- Skąd: Bydgoszcz
- Zarejestrowany: 2006-04-05
Re: dhcp i iptables
skrót myślowy ;-)
"There are only 10 kinds of people in the world --
.....Those who understand binary, and those who don't."
Offline