Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Co moze stac za tym ze serwer z zwykla maskarada jest zupelnie niewidoczny w sieci...
tzn komputery ktore maja przydzielony nawet ip przez dhcp od bramy
nie odpowiadaja na pingi 192.168.1.1
:(
Offline
pewnie masz w firewallu sutawione blokowanie pingów :)
Offline
# Maskarada na wszystkie komputery w klasie
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -d 0/0 -j MASQUERADE
#Zabezpieczenie przed atakiem typu ping of death
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Zabespieczenie skanowania routera
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix "NEW: "
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#Ukrycie maskarady
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 65
#Przekierowywanie portow dla stacji w LAN - Przyklad
#
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4242 -j DNAT --to 192.168.1.2
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4242 -j DNAT --to 192.168.1.2
#Statystyki
#Porty
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp --sport 80 -j MARK --set-mark 2
ptables -t mangle -A PREROUTING -p tcp --dport 9040 -j MARK --set-mark 3
iptables -t mangle -A OUTPUT -p tcp --sport 9040 -j MARK --set-mark 4
Offline
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
wywal to ;]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.7 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org
iD8DBQFG+N7Z7tyJ7YiisagRApYqAKCGMCvPCLIlnJNL96gX8aa5SPijigCfXvmy
+2QZqQ0YO5Y60Er85kYd4FA=
=TBAr
-----END PGP SIGNATURE-----
Offline
probowalem juz wszystko hasowac i nic..
Offline
A "wyczyściłeś" wcześniej zapamiętane reguły ?
Offline
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
tak czyszcze tablice :>
Offline
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
oraz dopisz
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Offline
wszystko to co napisal szanowny kolega szewczyk jest OK a moze tak dodatkowo? :
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT
wiadomo ze brama odpowiada ale limitowanie sprawi ze nie zapinguja nas na smierc? wartosc 6/minute do edycji i uznania
Offline
Pierwsze co to zazwyczaj domyslnie regułą dla pakietów INPUT jest DROP :P Ale kto by na to patrzyl... ;)
Chain INPUT (policy DROP)
btw: piszemy zabezpieczenie, a nie zabespieczenie.
Offline