Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-06-05 21:00:04

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

skrypt firewall by BiExi a www na świat

jak i gdzie dopisać do tego skrypciku by była widoczna strona internetowa w sieci i poza nią (internet) ???
jak narazie widać ją tylko i wyłącznie w lokalu :(


Linux Registered user #386246

Offline

 

#2  2006-06-05 21:05:06

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

Otwórz port na którym masz serwer www np

Kod:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Zarejestrowany użytkownik Linuksa #361563

Offline

 

#3  2006-06-05 21:09:33

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

wpakowałem do w ostatnią linię do pliku ipf , ale niestety nie widać www.hugonnet.org
nadal nie działa


Linux Registered user #386246

Offline

 

#4  2006-06-05 21:36:46

  rogos - Moderator

rogos
Moderator
Zarejestrowany: 2005-02-12

Re: skrypt firewall by BiExi a www na świat

pokaz caly firewall..


http://img88.imageshack.us/img88/1856/imageslg0.png

Offline

 

#5  2006-06-05 21:52:24

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

http://dug.net.pl/texty/masq.php   tam na dole masz plik , nie jest nic zmieniane ( nie licząc adresów ip)


Linux Registered user #386246

Offline

 

#6  2006-06-05 22:32:28

  Ulter - Użytkownik

Ulter
Użytkownik
Zarejestrowany: 2006-03-15

Re: skrypt firewall by BiExi a www na świat

może tak spróbuj:
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

Offline

 

#7  2006-06-05 22:42:18

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

może tak spróbuj:
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

Może małe wyjaśnienie. Podanie interfejsu określa nam która "strona" będzie miała dostęp do tego serwera, np jeżeli na eth0 jest LAN to tylko użytkownicy tejże się dostaną. A kolega chciał żeby wszyscy mieli dostęp. Więc kiedy nie określimy interfejsu to reguła dotyczy wszystkich iface w systemie.


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#8  2006-06-06 15:27:08

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

wszystkie powyższe iptables nie skutkują
Może jakieś znaczenie ma to że squid dziaa na porcie 8080 ?????


Linux Registered user #386246

Offline

 

#9  2006-06-06 17:05:48

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: skrypt firewall by BiExi a www na świat

blazejwiecha - co do tego squida jesli jest uruchomiony na tej samej maszynie co server www to moze sie dzac tak ze userzy z lanu nie beda mogli wejsc na ta strone przynjamniej tak sie u mnie dzialo

Offline

 

#10  2006-06-06 17:59:14

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

no u mnie jest znów tak że z zewnątrz nie potrafi nikt wejść


Linux Registered user #386246

Offline

 

#11  2006-06-06 19:31:57

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

no u mnie jest znów tak że z zewnątrz nie potrafi nikt wejść

To może jednak pokaż ten Twój skrypt.


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#12  2006-06-06 19:35:43

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

oto on:

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward
#####

/sbin/modprobe iptable_filter 
/sbin/modprobe ip_conntrack 
/sbin/modprobe iptable_nat 
/sbin/modprobe ipt_MASQUERADE 
/sbin/modprobe ipt_REDIRECT 
/sbin/modprobe ip_nat_ftp 
/sbin/modprobe ip_nat_irc 
/sbin/modprobe ip_conntrack_ftp 
/sbin/modprobe ip_conntrack_irc 

####
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
#jescze cos##########

#iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED 
#iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED 

#####################

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT




iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#SQUID
iptables -A FORWARD -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
#lub
#iptables -A FORWARD -s 192.168.0.1 -j ACCEPT
#iptables -A FORWARD -d 192.168.0.1 -j ACCEPT

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.100:8080

#blokada niechcianych portów

iptables -I FORWARD -p tcp --dport 137:139 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 137:139 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 135 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 135 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 445 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 445 -s 192.168.0.0/24 -j DROP
#iptables -I FORWARD -p tcp --dport 113 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 2825 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 2825 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 1189:1198 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 1189:1198 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 1025 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 1025 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 3127 -s 192.168.0.0/24 -j DROP
iptables -I FORWARD -p udp --dport 3127 -s 192.168.0.0/24 -j DROP

#iptables -I FORWARD -p tcp --dport 1000:4000 -s 192.168.0.0/24 -j DROP
#iptables -I FORWARD -p udp --dport 1000:4000 -s 192.168.0.0/24 -j DROP
#iptables -I FORWARD -p tcp --dport 7001:65535 -s 192.168.0.0/24 -j DROP
#iptables -I FORWARD -p udp --dport 7001:65535 -s 192.168.0.0/24 -j DROP

#przekierowanie konkretnych portów
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 7000 -j DNAT --to 192.168.0.2:7000
iptables -t nat -A PREROUTING -p udp --dport 7000 -j DNAT --to 192.168.0.2:7000
iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to 192.168.0.2:4662
iptables -t nat -A PREROUTING -p udp --dport 4672 -j DNAT --to 192.168.0.2:4672
iptables -t nat -A PREROUTING -p tcp --dport 6969 -j DNAT --to 192.168.0.2:6969
iptables -A FORWARD -s 192.168.0.39 -j ACCEPT
iptables -A FORWARD -d 192.168.0.39 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 4669 -j DNAT --to 192.168.0.39:4669
iptables -t nat -A PREROUTING -p udp --dport 4679 -j DNAT --to 192.168.0.39:4679
iptables -A FORWARD -s 192.168.0.18 -j ACCEPT
iptables -A FORWARD -d 192.168.0.18 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 4668 -j DNAT --to 192.168.0.18:4668
iptables -t nat -A PREROUTING -p udp --dport 4677 -j DNAT --to 192.168.0.18:4677
iptables -A FORWARD -s 192.168.0.7 -j ACCEPT
iptables -A FORWARD -d 192.168.0.7 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 4666 -j DNAT --to 192.168.0.7:4666
iptables -t nat -A PREROUTING -p udp --dport 4673 -j DNAT --to 192.168.0.7:4673
iptables -A FORWARD -s 192.168.0.26 -j ACCEPT
iptables -A FORWARD -d 192.168.0.26 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 7002 -j DNAT --to 192.168.0.26:7002
iptables -t nat -A PREROUTING -p udp --dport 7002 -j DNAT --to 192.168.0.26:7002





iptables -A INPUT -s 0/0 -d 83.15.24.203 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.15.24.203 -p udp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p udp --dport 22 -j ACCEPT

iptables -A INPUT -s 0/0 -d 83.15.24.203 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.15.24.203 -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p udp --dport 80 -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p udp --dport 22 -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p udp --dport 80 -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 21 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p udp --dport 21 -j ACCEPT

iptables -A INPUT -s 0/0 -d 83.15.24.203 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.15.24.203 -p udp --dport 21 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p udp --dport 21 -j ACCEPT

iptables -A INPUT -s 0/0 -d 83.15.24.203 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.15.24.203 -p udp --dport 10000 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p udp --dport 10000 -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 10000 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p udp --dport 10000 -j ACCEPT

iptables -A INPUT -s 0/0 -d 83.15.24.203 -p tcp --dport 3306 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.15.24.203 -p udp --dport 3306 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 83.15.24.203 -p udp --dport 3306 -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.0.1 -p tcp --dport 3306 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.1 -p udp --dport 3306 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1 -p udp --dport 3306 -j ACCEPT

# WIECHA - LIPOWA50
iptables -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE 
iptables -A FORWARD -m mac --mac-source 00:E0:4C:B2:49:04 -j ACCEPT 

# PLASZCZY - BRZOZOWA
iptables -t nat -A POSTROUTING -s 192.168.0.3 -j MASQUERADE 
iptables -A FORWARD -m mac --mac-source 00:40:F4:64:9A:C1 -j ACCEPT 

# RABENDA - BRZOZOWA
iptables -t nat -A POSTROUTING -s 192.168.0.4 -j MASQUERADE 
iptables -A FORWARD -m mac --mac-source 00:40:F4:64:9A:98 -j ACCEPT 

# MIKOLAJCZY - BRZOZOWA
iptables -t nat -A POSTROUTING -s 192.168.0.5 -j MASQUERADE 
iptables -A FORWARD -m mac --mac-source 00:04:61:4B:90:61 -j ACCEPT 

i tak dalej ......

Linux Registered user #386246

Offline

 

#13  2006-06-06 19:54:29

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

Rozumiem, że eth1 to Twój interfejs do LAN-u. Jeżeli tak to skrypt jest ok.


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#14  2006-06-06 19:59:15

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

auto eth0
iface eth0 inet static
        address 192.168.0.1
        netmask 255.255.255.0
auto eth1
iface eth1 inet static
        address 83.15.24.203
        netmask 255.255.255.248
        gateway 83.15.24.201
        network 83.15.24.200
        broadcast 83.15.24.207


Linux Registered user #386246

Offline

 

#15  2006-06-06 21:24:08

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

auto eth0
iface eth0 inet static
        address 192.168.0.1
        netmask 255.255.255.0
auto eth1
iface eth1 inet static
        address 83.15.24.203
        netmask 255.255.255.248
        gateway 83.15.24.201
        network 83.15.24.200
        broadcast 83.15.24.207

No to wszystko jasne, masz proxy na zewnętrznym interfejsie zrobione. Zmien w regułce dla squid-a eth1 na eth0 i powinno być OK.


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#16  2006-06-06 21:26:22

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

no ale jak zrobie tak to cały squid jakoś nie działa tzn nie wyświetla się żadna strona potem na kompie klienckim :(


Linux Registered user #386246

Offline

 

#17  2006-06-06 21:38:24

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: skrypt firewall by BiExi a www na świat

no ale jak zrobie tak to cały squid jakoś nie działa tzn nie wyświetla się żadna strona potem na kompie klienckim :(

No to już problem konfiguracji squid-a podejrzewam. Działa on domyślnie na porcie 3128, u Cieie jest 8080. Zmieniałeś to celowo?
Aha i jeśli chcesz żeby stronka na Twoim serwerze "szła" do LAN-u poza squid-em to zmodyfikuj regułe:

Kod:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.1 --dport 80 -j REDIRECT --to-port 8080

Zarejestrowany użytkownik Linuksa #361563

Offline

 

#18  2006-06-06 21:42:50

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

to skoro prawdopodobnie to squid to gdzie mam zonk ?
oto squid.conf:

Kod:

http_port 8080 
hierarchy_stoplist cgi-bin ? 
acl QUERY urlpath_regex cgi-bin ? 
no_cache deny QUERY 
cache_mem 128 MB 
cache_dir ufs /var/spool/squid 600 16 256 
cache_access_log /var/log/squid/access.log 
cache_log /var/log/squid/cache.log 
cache_store_log /var/log/squid/store.log 
#hosts_file /etc/hosts 
dns_nameservers 194.204.152.34 194.204.159.1 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern . 0 20% 4320 


acl all src 0.0.0.0/0.0.0.0 
acl manager proto cache_object 
acl localhost src 127.0.0.1/255.255.255.255 
acl to_localhost dst 127.0.0.0/8 
#acl lan src 192.168.16.0/24 
#acl to_lan dst 192.168.16.0/24 
acl lan src 192.168.0.0/24 
acl to_lan dst 192.168.0.0/24 

#acl all proxy_auth REQUIRED 
acl SSL_ports port 443 563 # https, snews 
#acl SSL_ports port 873 # rsync 
acl Safe_ports port 80 # http 
acl Safe_ports port 21 # ftp 
acl Safe_ports port 443 563 # https, snews 
acl Safe_ports port 70 # gopher 
acl Safe_ports port 210 # wais 
acl Safe_ports port 1025-65535 # unregistered ports 
acl Safe_ports port 280 # http-mgmt 
acl Safe_ports port 488 # gss-http 
acl Safe_ports port 591 # filemaker 
acl Safe_ports port 777 # multiling http 
acl Safe_ports port 631 # cups 
acl Safe_ports port 873 # rsync 
acl Safe_ports port 901 # SWAT 
acl purge method PURGE 
acl CONNECT method CONNECT 

acl zak_domeny dstdomain -i "/usr/local/squid/etc/zak_domeny" 
#acl zak_url dstdomain -I "/usr/local/squid/etc/zak_url" 
acl zak_url url_regex -i "/usr/local/squid/etc/zak_url" 
http_access deny zak_domeny 
http_access deny zak_url 

http_access allow localhost 
http_access allow to_localhost 
http_access allow lan 
http_access allow to_lan 
http_access allow manager localhost 
http_access deny manager 
http_access allow purge localhost 
http_access deny purge 

# Deny requests to unknown ports 
http_access deny !Safe_ports 
# Deny CONNECT to other than SSL ports 
http_access deny CONNECT !SSL_ports 
http_access deny all 
http_reply_access allow all 

icp_access allow all 


cache_effective_user proxy
cache_effective_group proxy 

visible_hostname moja.domena.pl 
icp_access allow all 

error_directory /usr/share/squid/errors/Polish 


httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_single_host off
httpd_accel_uses_host_header on
coredump_dir /var/spool/squid


Linux Registered user #386246

Offline

 

#19  2006-06-06 21:49:59

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

znalazłem kłopot , firewall nie otwierał tego portu 8080 :)
dodałem do listy portów port 8080 i otwarł się , teraz tylko pytanie czy strone widać :)


Linux Registered user #386246

Offline

 

#20  2007-01-09 18:48:33

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

nadal używam tego firewalla , bo jest bardzo dobry, lecz mam pewien kłopot.
Wbija mi się jakiś adres mac którego nie znam , i chcę go zablokować całkowicie. Jaką regułą tego dokonać ????


Linux Registered user #386246

Offline

 

#21  2007-01-10 07:42:17

  jezoo - Dzięcioł

jezoo
Dzięcioł
Skąd: Z lasu
Zarejestrowany: 2005-09-02

Re: skrypt firewall by BiExi a www na świat

Kod:

iptables -A FORWARD -m mac --mac-source 00:40:F4:64:9A:98 -j DROP

chyba :) ale logicznie myslac jezeli jest ACCEPT i go przyjmuje no DROP musi go przyblokowac :)

ale moge sie mylic :)


LRU #480459

Offline

 

#22  2007-01-10 10:19:43

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

taka komenda niestety nie pomaga, już próbowałem z nią.
Jak arping dam na ten adres w którym wbija się ta osoba to mam na zmiane dwa mac'i


Linux Registered user #386246

Offline

 

#23  2007-01-10 10:26:59

  BialyS - Członek DUG

BialyS
Członek DUG
Skąd: Olecko
Zarejestrowany: 2006-11-23
Serwis

Re: skrypt firewall by BiExi a www na świat

a na co prubuja ci sie wbic ;) ?


http://annabielawska.pl Biuro Rachunkowe | http://ranking.cebr.pl Największy w sieci ranking biur rachunkowych

Offline

 

#24  2007-01-10 10:38:34

  Nickleodeon - Członek DUG

Nickleodeon
Członek DUG
Skąd: Drawsko Pomorskie
Zarejestrowany: 2005-08-19

Re: skrypt firewall by BiExi a www na świat

... jak arping dam na ten adres w którym wbija się ta osoba to mam na zmiane dwa mac'i...

Masz moze po radiu (WLAN) jakies APC ktore maskuje MAC? Wtedy moga to byc klienci za APC (te dwa MAC), a MAC ktoey ci sie dopukuje do twojego routerka to wlasnie MAC tego APC...
Dla sytuacji opisanej powyzej (u mnie tez tak jest) w ARPipe musze skojarzyc kazde IP miska z MAC tego APC (maskujacego MAC klientow) za ktorym jest ten misiek.

Offline

 

#25  2007-01-10 13:21:36

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: skrypt firewall by BiExi a www na świat

nie mam na radiu żadnego apc które by mogło maskować adresy MAC. Nie mam również żadnego sprzętu z takim mac'iem. Wiem że to musi przychodzić z zewnątrz po radiu. Jak narazie dałem w ARP całą tablicę mac ,, zobaczymy jak sobie będzie radziła.


Linux Registered user #386246

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)