Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-06-02 06:25:10
owca - 
Członek DUG
Firewall i transmisja przez losowe porty
Mam na komputerze zainstalowane kilka gier i programów, które przy połączeniu do jakiegoś serwera korzystają z portów z danego zakresu. Tyczy sie to ftp, rtorrenta wesnotha itp. Jak tu kurde skonfigurować rozsądnie firewalla, skoro ftp wymaga otwartych portów większych od 1024 (bo nie wiadomo z którego się połączy), rotrrentowi wypadałoby podać zakres kilkudziesięciu, a wesnoth to nie mam pojęcia z jakich się łączy, ale równiez z losowych. Czy jest jakać technika która umożliwiałaby mi "inteligentne" odblokowywanie portów na routerze (od biedy może być to firewall oparty na iptables), pozostawiając zamknięte nieużywane porty?
Offline
#2 2008-06-02 06:28:31
qbsiu - Członek DUG
Re: Firewall i transmisja przez losowe porty
Ja tak ustawiałem dla proftpd - który korzysta także z zakresu...
Kod:
iptables -A INPUT -p TCP --dport 49152:65534 -i eth0 -j ACCEPT
A tak wygląda cały firewall - wpisujesz sobie tylko regułki z portami - osobiście z tego korzystam
Kod:
#!/bin/sh iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # www iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT # ssh iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT # ftp iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT iptables -A INPUT -p udp --dport 21 -i eth0 -j ACCEPT iptables -A INPUT -p TCP --dport 49152:65534 -i eth0 -j ACCEPT
Ostatnio edytowany przez qbsiu (2008-06-02 06:30:05)
Offline
#3 2008-06-02 18:01:46
TBH - Członek DUG
Re: Firewall i transmisja przez losowe porty
owca napisał(-a):
Mam na komputerze zainstalowane kilka gier i programów, które przy połączeniu do jakiegoś serwera korzystają z portów z danego zakresu. Tyczy sie to ftp, rtorrenta wesnotha itp. Jak tu kurde skonfigurować rozsądnie firewalla, skoro ftp wymaga otwartych portów większych od 1024 (bo nie wiadomo z którego się połączy), rotrrentowi wypadałoby podać zakres kilkudziesięciu, a wesnoth to nie mam pojęcia z jakich się łączy, ale równiez z losowych. Czy jest jakać technika która umożliwiałaby mi "inteligentne" odblokowywanie portów na routerze (od biedy może być to firewall oparty na iptables), pozostawiając zamknięte nieużywane porty?
Ale bzdury.
rtorrent może pracować tylko na jednym porcie, po co mu zakres? dla wyboru? dla niego to bez różnicy.
Wesnoth - 15000
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#4 2008-06-03 06:41:15
owca - Członek DUG
Re: Firewall i transmisja przez losowe porty
TBH napisał(-a):
Ale bzdury.
rtorrent może pracować tylko na jednym porcie, po co mu zakres? dla wyboru? dla niego to bez różnicy.
Wesnoth - 15000
Sram na to że rodzice cie nie kochają, ale weź się powstrzymaj i nie odpowiadaj w moich tematach, bo gówno pomagasz a za dużo się mądrujesz.
Rtorrent może mieć podany zakres portów na których działa jak by nie mógł nadawać (odbierać) na jednym z nich.
Po odblokowaniu in i out na firewallu port 15000, tcp i udp Wesnoth mi nie działa. Odblokowałem wszystko i podłaczłem Wiresharka. Pokazało mi wiele różnych portów z których gra korzystała: 38969, 53815, 49318, 41851, 41850, 48463, 14998 i duuużo innych. Żaden z nich nie miał numerka 15000.
Nie odpisuj bo nie interesuje mnie twoja wypowiedź.
Offline
#5 2008-06-03 08:47:39
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Firewall i transmisja przez losowe porty
Serwery Wesnotha, wyobraź sobie (względnie poczytaj dokumentację), domyślnie latają na TCP 15000. Nic nie stoi oczywiscie podać serwerowi inny port (zazwyczaj są to 14999, -98, -97, 15001, -02).
O "wieloportowych" (tym bardziej powyżej 1024) FTP-ach pierwsze słyszę, ale też pewnie niewiele słyszałem.
rtorrentowi zakres, na którym działa, podajesz w konfigu. Notabene nie musi być wcale zakresem, może to być jeden tylko port (choć wtedy mogą pojawić się takie lub inne problemy).
Niniejszym śmiem potwierdzić, że bzdury pisałeś (pewnie zaraz się dowiem prawdy o sobie).
owca napisał(-a):
Czy jest jakać technika która umożliwiałaby mi "inteligentne" odblokowywanie portów na routerze (od biedy może być to firewall oparty na iptables)
W pewnym sensie tak. Cron i dowolny język skryptowy. Można też zaadoptować technikę "port-knocking".
(Oczywiście tyczy się to iptables, rodzaju tego nieiptablesowego firewalla nawet nie podałeś.)
owca napisał(-a):
Sram na to że rodzice cie nie kochają, ale weź się powstrzymaj i nie odpowiadaj w moich tematach, bo gówno pomagasz a za dużo się mądrujesz.
A może byś sobie darował osobiste wycieczki? Nie lubisz kogoś? Ludzka rzecz. Ale żeby zaraz trollować?
Chyba, że postawiłeś sobie za cel sprawić, żeby innych nie interesowały twoje wypowiedzi.
Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712
Offline
#6 2008-06-03 10:17:12
ba10 - Członek DUG
Re: Firewall i transmisja przez losowe porty
azhag napisał(-a):
O "wieloportowych" (tym bardziej powyżej 1024) FTP-ach pierwsze słyszę, ale też pewnie niewiele słyszałem.
.
Zapewne człowiekowi chodzi o to , że dana aplikacja kliencka może łączyć się na lokalnym komputerze z serwerem na jakims wyższym porcie np.
Kod:
Protokół Adres lokalny Obcy adres Stan TCP blurp:2050 add222.internetdsl.tpnet.pl:ftp USTANOWIONO TCP blurp:2052 add222.internetdsl.tpnet.pl:ftp USTANOWIONO
ale jesli ktoś nie ustawił sobie inaczej to ftp ma swoje standardowe porty, co widać w powyższym kodzie.
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#7 2008-06-03 10:21:24
zlyZwierz - Moderator
Re: Firewall i transmisja przez losowe porty
Mam wrażenie , że zwykły stateful firewall (tzn taki , jak wkleił qbsiu) wystarczy , a ponieważ lokalny port jest przeważnie losowy bez sensu jest go wpuszczanie kolejną regułką lub zakresem portów.
Offline
#8 2008-06-03 14:40:09
owca - Członek DUG
Re: Firewall i transmisja przez losowe porty
Firewalla mam na routerze (Pentagram Cerberus).
tu były screeny
Czy to powinno trybić, bo nie idzie? Już problem rozwiązałem.
Jesli chodzi o FTP to: http://odyniec.net/ftp/ftp.html#passive
Jak dla mnie to jednak te porty > 1024 powinny być otwarte. Program do ftp sobie losuje te porty czy jak je przydziela? Czy istnieje jakiś nowszy protokół który jest udoskonaleniem ftp (tak jak ssh dla telnet i rsh)?
azhag napisał(-a):
rtorrentowi zakres, na którym działa, podajesz w konfigu. Notabene nie musi być wcale zakresem, może to być jeden tylko port (choć wtedy mogą pojawić się takie lub inne problemy).
Podstawy rtorrenta znam. Chodzi mi jednak o to, że jeśli mam podany zakres
azhag napisał(-a):
A może byś sobie darował osobiste wycieczki? Nie lubisz kogoś? Ludzka rzecz. Ale żeby zaraz trollować?
Chyba, że postawiłeś sobie za cel sprawić, żeby innych nie interesowały twoje wypowiedzi.
TBH pisał tego posta tylko w celu, aby ukazać swoją "wyższość" nade mną. Nie chciał czegokolwiek wyjaśnić, tylko mi dokuczyć. Ja ze swojej strony nie potrafiłem się nie odwzajemnić i odpłaciłem mu wypowiedzią z podobnym przesłaniem.
Ostatnio edytowany przez owca (2008-06-03 15:46:13)
Offline
#9 2008-06-03 16:43:59
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Firewall i transmisja przez losowe porty
skoro to jest
Kod:
iptables -P OUTPUT ACCEPT
to po co to?
Kod:
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Offline
#10 2008-06-03 20:13:31
zlyZwierz - Moderator
Re: Firewall i transmisja przez losowe porty
Yampress napisał(-a):
skoro to jest
Kod:
iptables -P OUTPUT ACCEPTto po co to?
Kod:
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Bo
Kod:
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
nie uwzględnia stanu NEW , a czyni to regułka
Kod:
iptables -P OUTPUT ACCEPT
.
Offline
#11 2008-06-03 21:03:35
TBH - Członek DUG
Re: Firewall i transmisja przez losowe porty
owca napisał(-a):
TBH pisał tego posta tylko w celu, aby ukazać swoją "wyższość" nade mną. Nie chciał czegokolwiek wyjaśnić, tylko mi dokuczyć. Ja ze swojej strony nie potrafiłem się nie odwzajemnić i odpłaciłem mu wypowiedzią z podobnym przesłaniem.
Oj, przegiąłeś facet.
nie będę przypominał kto lubi się wywyższać i polecał Mafiossowi rm -fr / jako kolorki w konsoli ;]
I nagle wiesz co myślę i jakie są motywy moich działań?
Pokazałeś jaki jesteś, ale nie martw się. Nikt nie spodziewał się po Tobie kultury wypowiedzi.
a teraz żegnam, "Dla mnie już nie istniejesz, żadnych relacji nie ma."
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#12 2008-06-03 23:56:20
bercik - Moderator Mamut
Re: Firewall i transmisja przez losowe porty
owca napisał(-a):
Czy istnieje jakiś nowszy protokół który jest udoskonaleniem ftp (tak jak ssh dla telnet i rsh)?
w zasadzie istnieje:
* HTTP dla (niekoniecznie) anonimowego pobierania plikow (ftp nie ma chyba nad nim zadnej przewagi)
* SFTP (fragment ssh) dla autoryzowanego wysylania i pobierania plikow
* ewentualnie takze rsync ...
zlyZwierz napisał(-a):
Bo
Kod:
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATEDnie uwzględnia stanu NEW , a czyni to regułka
Kod:
iptables -P OUTPUT ACCEPT.
pytanie bylo po co dawac regulke szczegolowa gdy jej wynik jest taki sam jak polityki domyslnej (ACCEPT) ... jedyne uzasadnienie to chyba "gdybysmy chcieli zmienic polityke domyslna"
Ostatnio edytowany przez bercik (2008-06-03 23:57:24)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#13 2008-06-04 10:00:13
zlyZwierz - Moderator
#14 2008-06-04 17:58:38
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Firewall i transmisja przez losowe porty
ale jak oglądam firewale to duzo ludzi przedstawia te 2 łańcuchy :)
a wystarczy polityka ACCPET na OUTPUT
poza tym widze jeszcze ze 2 niepotrzebne :P linijki
Offline
#15 2008-06-04 18:06:05
owca - Członek DUG
#16 2008-06-04 19:49:55
bercik - Moderator Mamut
Re: Firewall i transmisja przez losowe porty
owca napisał(-a):
Yampress napisał(-a):
poza tym widze jeszcze ze 2 niepotrzebne :P linijki
Te z komentarzami? ;-)
niekoniecznie ... podpowiem ze chdzi np. o port 80 w udp ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#17 2008-06-04 20:10:02
owca - Członek DUG
Re: Firewall i transmisja przez losowe porty
bercik napisał(-a):
owca napisał(-a):
Yampress napisał(-a):
poza tym widze jeszcze ze 2 niepotrzebne :P linijki
Te z komentarzami? ;-)
niekoniecznie ... podpowiem ze chdzi np. o port 80 w udp ...
Aaaa... widzę... ...niepotrzebne entery ;-)
Offline
#18 2008-06-05 15:44:31
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Firewall i transmisja przez losowe porty
owca coś źle widzisz... czyżby słoń Ci nadepł na stope :P
Ostatnio edytowany przez Yampress (2008-06-05 15:45:10)
Offline