Forum Debian Users Gang

buli · 2007-09-25 11:18:53

Co moze stac za tym ze serwer z zwykla maskarada jest zupelnie niewidoczny w sieci...
tzn komputery ktore maja przydzielony nawet ip przez dhcp od bramy
nie odpowiadaja na pingi 192.168.1.1
:(

guzzi · 2007-09-25 11:42:47

pewnie masz w firewallu sutawione blokowanie pingów :)

buli · 2007-09-25 11:44:09

# Maskarada na wszystkie komputery w klasie
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -d 0/0 -j MASQUERADE

#Zabezpieczenie przed atakiem typu ping of death
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Zabespieczenie skanowania routera
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix "NEW: "
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Ukrycie maskarady
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 65

#Przekierowywanie portow dla stacji w LAN - Przyklad
#
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4242 -j DNAT --to 192.168.1.2
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4242 -j DNAT --to 192.168.1.2

#Statystyki
#Porty
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp --sport 80 -j MARK --set-mark 2
ptables -t mangle -A PREROUTING -p tcp --dport 9040 -j MARK --set-mark 3
iptables -t mangle -A OUTPUT -p tcp --sport 9040 -j MARK --set-mark 4

TBH · 2007-09-25 12:11:00

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
wywal to ;]

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.7 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFG+N7Z7tyJ7YiisagRApYqAKCGMCvPCLIlnJNL96gX8aa5SPijigCfXvmy
+2QZqQ0YO5Y60Er85kYd4FA=
=TBAr
-----END PGP SIGNATURE-----

buli · 2007-09-25 12:33:29

probowalem juz wszystko hasowac i nic..

ba10 · 2007-09-25 14:17:49

A "wyczyściłeś" wcześniej zapamiętane reguły ?

buli · 2007-09-25 14:26:35

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
tak czyszcze tablice :>

szewczyk · 2007-09-25 15:09:41

Kod:

echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all

oraz dopisz

Kod:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

norberto · 2007-09-27 16:06:35

wszystko to co napisal szanowny kolega szewczyk jest OK a moze tak dodatkowo? :

Kod:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT

wiadomo ze brama odpowiada ale limitowanie sprawi ze nie zapinguja nas na smierc? wartosc 6/minute do edycji i uznania

qluk · 2007-09-27 18:38:24

Pierwsze co to zazwyczaj domyslnie regułą dla pakietów INPUT jest DROP :P Ale kto by na to patrzyl... ;)

Kod:

Chain INPUT (policy DROP)

btw: piszemy zabezpieczenie, a nie zabespieczenie.

zlyZwierz · 2007-09-27 18:57:33

Domyślnie jest ACCEPT .. chyba, że ktoś w skrypcie firewalla to zmieni.

Forum Debian Users Gang

Ogłoszenie

#1 2007-09-25 11:18:53

buli - Użytkownik

Nie moge pingowac bramy?

#2 2007-09-25 11:42:47

guzzi - Członek DUG

Re: Nie moge pingowac bramy?

#3 2007-09-25 11:44:09

buli - Użytkownik

Re: Nie moge pingowac bramy?

#4 2007-09-25 12:11:00

TBH - Członek DUG

Re: Nie moge pingowac bramy?

#5 2007-09-25 12:33:29

buli - Użytkownik

Re: Nie moge pingowac bramy?

#6 2007-09-25 14:17:49

ba10 - Członek DUG

Re: Nie moge pingowac bramy?

#7 2007-09-25 14:26:35

buli - Użytkownik

Re: Nie moge pingowac bramy?

#8 2007-09-25 15:09:41

szewczyk - Stary wyjadacz :P

Re: Nie moge pingowac bramy?

Kod:

Kod:

#9 2007-09-27 16:06:35

norberto - Użytkownik

Re: Nie moge pingowac bramy?

Kod:

#10 2007-09-27 18:38:24

qluk - Pan inż. Cyc

Re: Nie moge pingowac bramy?

Kod:

#11 2007-09-27 18:57:33

zlyZwierz - Moderator

Re: Nie moge pingowac bramy?

Stopka forum