Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2008-06-16 11:35:27

  frytka - Użytkownik

frytka
Użytkownik
Zarejestrowany: 2006-04-06

Blokowanie stron

Mam następujący problem:

Mam serwer (os debian etch), który udostępnia internet na stacje robocze. Ostatnio zauważyłem, że na stacjach nie działają (ciągle oczekuje na stronę) takie strony jak orange.pl czy myspace.com i to na żadnym systemie win/lin. Natomiast na serwerze otwierają się natychmiast i bezproblemowo.

Co może być tego przyczyną? Dodam jeszcze, że na serwerze i stacjach roboczych są takie same DNS'y.

Offline

 

#2  2008-06-16 12:56:52

  adam05 - Adamin

adam05
Adamin
Skąd: Warszawa
Zarejestrowany: 2005-12-15
Serwis

Re: Blokowanie stron

Blokada hostów przez iptables?
Daj na serwerku jako root:

Kod:

iptables -I FORWARD -p tcp --dport 80 -s [ip orange.pl] -j ACCEPT

Pozdrawiam

Wszedzie dobrze, ale w 127.0.0.1 najlepiej...

Offline

 

#3  2008-06-16 14:34:34

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Blokowanie stron

albo na hostach jako adres serwera DNS podaj IP Twojego serwera ;] też tak miałem. W momencie jak hosty miały wpisane DNS'y od dostawcy to strony się całą wieczność otwierały ale w momencie wpisania na hostach adresu serwera jako serwera DNS wszystko zaczęło śmigać jak burza ;]

LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#4  2008-06-16 15:27:39

  qbsiu - Członek DUG

qbsiu
Członek DUG
Skąd: Łódzkie
Zarejestrowany: 2007-06-15
Serwis

Re: Blokowanie stron

Hmmmm dziwne... czyli jeżeli mam neostradę to na podsieć też ustawiać dnsy neostrady, czy nie?

Offline

 

#5  2008-06-16 17:05:58

  frytka - Użytkownik

frytka
Użytkownik
Zarejestrowany: 2006-04-06

Re: Blokowanie stron

adam05 nie pomaga.

winnetou również nie działa.

Mój firewall:

Kod:

INET_IP=`ifconfig ppp0 | grep inet | awk '{print $2}'| awk -F: '{print $2}'`

# wlaczenie w kernel`u forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyscimy wszystko
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

##################################################################
################################################################## 
# ochrona przed atakiem typu Smurf                             
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts        
#blokada ipspoofing                                           
echo "1" >/proc/sys/net/ipv4//conf/all/rp_filter              
#ochrona przed atakami syn cokkies                            
echo "1" >/proc/sys/net/ipv4/tcp_syncookies                    
#brak reakcji na falszywe komunikaty o bledach                 
echo "1" >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 
# nie akceptujemy pakietow "source route"               
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route        
# nie przyjmujemy pakietow ICMP redirect                       
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects          
# wlacza logowanie dziwnych (spoofed, source routed, redirects)
#echo 1 > /proc/sys/net/ipv4/conf/all/log_martians             
##################################################################
##################################################################

# usuwanie polityki dzialan
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Metoda ACK (nmap -sA)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie ACK"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP

# Skanowanie FIN (nmap -sF)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie FIn"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

# Metoda Xmas Tree (nmap -sX)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Xmas Tre"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# Skanowanie Null (nmap -sN)
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Null"
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP

# Lancuch syn-flood (obrona przed DoS)
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 #-j LOG --log-level debug --log-prefix "SYN-FLOOD: "
iptables -A syn-flood -j DROP
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# odblokowanie lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# ping
iptables -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT

# SSH
iptables -A INPUT -s 0/0 -d $INET_IP -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -m state --state NEW -j ACCEPT

# server www 
iptables -A INPUT -s 0/0 -d $INET_IP -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -m state --state NEW -j ACCEPT

# server ftp
iptables -A INPUT -s 0/0 -d $INET_IP -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 21 -m state --state NEW -j ACCEPT

# POLACZENIA NAWIAZANE
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
                         
# UDOSTEPNIANIEN

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.2 -j SNAT --to-source $INET_IP
iptables -A FORWARD -s 192.168.1.2 -m mac --mac-source 00:13:D4:C1:05:90 -j ACCEPT

Może coś z tego wywróżycie.

Offline

 

#6  2008-06-16 18:32:51

  paoolo - Oldtimer

paoolo
Oldtimer
Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: Blokowanie stron

a ty w momencie wywolywania z skryptow startowych tego skryptu, masz juz polaczenie na neostradzie (ppp0), prawde powiedziewszy fajny sposob na ten IP. a co do tematu, probowales, odaplic  tylko to co konieczne, bez reszty, czyli sam forwading (w iptables i /proc/.../ipv4forward czy jakos tak), i moze jednak po maskaradzie, jesli jest to neo.

Offline

 

#7  2008-06-16 19:20:51

  frytka - Użytkownik

frytka
Użytkownik
Zarejestrowany: 2006-04-06

Re: Blokowanie stron

Ne, to nie neo. To nowy adsl dialogu ze zmiennym ip.
Probowalem odpalic sam fowarding i ciagle ten sam efekt.

---
A i jeszcze dodam, że kiedyś i orange.pl i myspace.com działały na workstacjach.

Ostatnio edytowany przez frytka (2008-06-16 19:24:51)

Offline

 

#8  2008-06-16 19:47:31

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Blokowanie stron

poobserwoj tcpdump'em jak wyglada proba nawiazania polaczenia z taka strona ...

sprawdz mtu ... bo z nim bywaja rozne problemy (zwlaszcza na adsl'ach?)

"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)