Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Linux NAT+Poboljsanja!?

[es] :: Linux mreže :: Linux NAT+Poboljsanja!?

[ Pregleda: 3305 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

tuxbilder

Član broj: 31887
Poruke: 74
80.65.91.*



Profil

icon Linux NAT+Poboljsanja!?17.12.2004. u 13:57 - pre 234 meseci
Imam sljedecu Linux NAT konfiguraciju_

192.168.0.1(cisco805)-192.168.0.2(NIC1)Linux_Server-10.40.0.10(NIC2)-LAN(10.40.0.0)

Lan ima NAT preko linux servera sa 2 mrezne. i tako idemo na net. Medjutim svi iz 10.40.0.0 mogu da pingaju 192.168.0.1 odnosno router. zelim da napravim da je router njima nevidjljiv, jer cim dobiju neki worm on prouzrokuje nekim skeniranjima u lanu velik promet tako da se router zagusi i tako net padne. pomagajte
 
Odgovor na temu

Dusan Marjanovic
Consultant, SAS
Beograd

Član broj: 59
Poruke: 1290
*.co.yu
Via: [es] mailing liste

Jabber: dusanm@gmail.com
ICQ: 84621598
Sajt: marjanovic.net


+6 Profil

icon Re: Linux NAT+Poboljsanja!?18.12.2004. u 00:31 - pre 234 meseci
Rekao bih da ti to nije rešenje problema, pošto ta gomila paketa koju
prouzrokuju virusi će i tako prolaziti preko tog routera, pošto jelte
mora da pređe preko njega da bi videli net. Nego da vidiš da na nat
mašini blokiraš portove koje koriste ti crvi ili nešto tome slično.
VMware VCP/Microsoft MCSE 2003/HP ASE
 
Odgovor na temu

tuxbilder

Član broj: 31887
Poruke: 74
80.65.91.*



Profil

icon Re: Linux NAT+Poboljsanja!?03.01.2005. u 07:56 - pre 234 meseci
Ovo nije normalno, gledam router svojim ocima a ping mu je;

Code:
64 bytes from 192.168.0.1: icmp_seq=27909 ttl=254 time=4049 ms
64 bytes from 192.168.0.1: icmp_seq=27916 ttl=254 time=3731 ms
64 bytes from 192.168.0.1: icmp_seq=27920 ttl=254 time=3738 ms
64 bytes from 192.168.0.1: icmp_seq=27933 ttl=254 time=1702 ms
64 bytes from 192.168.0.1: icmp_seq=27937 ttl=254 time=4755 ms
64 bytes from 192.168.0.1: icmp_seq=27948 ttl=254 time=3974 ms
64 bytes from 192.168.0.1: icmp_seq=27965 ttl=254 time=3578 ms
64 bytes from 192.168.0.1: icmp_seq=27972 ttl=254 time=3988 ms
64 bytes from 192.168.0.1: icmp_seq=27974 ttl=254 time=3830 ms
64 bytes from 192.168.0.1: icmp_seq=27979 ttl=254 time=3813 ms
64 bytes from 192.168.0.1: icmp_seq=27983 ttl=254 time=2738 ms
 
Odgovor na temu

tuxbilder

Član broj: 31887
Poruke: 74
80.65.91.*



Profil

icon Re: Linux NAT+Poboljsanja!?03.01.2005. u 08:15 - pre 234 meseci
Na Linux NAT serveru imam iptables podugnut i blokiram sljedece portove:


Code:
/usr/sbin/iptables -A FORWARD -p tcp --source-port 410:412 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 554:586 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 588:988 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 991:994 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 996:1689 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 1691:1862 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 1000:1023 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 1029:1862 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 1864:2023 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 2025:2081 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 2084:2089 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 2092:2094 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 2096:2097 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 2098:4059 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 4061:5000 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 5002:5019 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 5021:5022 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 5023:5188 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 5189:5193 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 5194:6666 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 6668:7000 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 7000:7999 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 8001:8079 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 8081:8999 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 9001:9009 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 9011:9999 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 10001:11998 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 12000:19637 -i eth1 -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --source-port 19639:60000 -i eth1 -j DROP


Koje jos treba da blokiram i da li je to rjesenje, jer kako citam novi wormovi koriste port 80 ?!?! I postoji li kakva zastita od njih?
 
Odgovor na temu

Gojko Vujovic
Amsterdam, NL

Administrator
Član broj: 1
Poruke: 13651



+165 Profil

icon Re: Linux NAT+Poboljsanja!?03.01.2005. u 12:11 - pre 234 meseci
Ugasiš im internet i mrežu, skineš sve viruse koji su se sakupili, patch-uješ windowse (xpsp2, 2000 sp4 itd), staviš anitivirus, proveriš još par puta da nema ništa, pa ih onda jednog po jednog vraćaš na mrežu za windows update. Obrišeš internet explorer, staviš firefox umesto toga, obrišeš outlook express, staviš thunderbird umesto toga, staviš free-av.com ako nemaš nešto komercijalno.

Time bi rešio problem u korenu, ne vredi ovako da se boriš protiv vetrenjača.
 
Odgovor na temu

tuxbilder

Član broj: 31887
Poruke: 74
80.65.91.*



Profil

icon Re: Linux NAT+Poboljsanja!?03.01.2005. u 13:15 - pre 234 meseci
Tu si upravu.
 
Odgovor na temu

u_m
Urukalo Milan
PH

Član broj: 18631
Poruke: 889
*.wireless.org.yu.

ICQ: 32554731
Sajt: https://milan.urukalo.com


Profil

icon Re: Linux NAT+Poboljsanja!?03.01.2005. u 15:04 - pre 234 meseci
i ja imam slican problem, u pitanju je wireless mreza i nemam pristup racunarima koji su u mrezi.

kad vec pricamo o fw-u, da li je neko koristio "pipe" za kontrolu bw-a po ip/mac adresama?
ja kad postavim pipe za sav promet on radi, ali nece da ogranici bw pojedinacnom korisniku, odnosno nekad hoce, kad imam malo "pipe" -ova

evo kako izgleda:
Citat:

$fwcmd add 310 pipe 3 all from any to 192.168.110.201/32 in recv ${oif}
$fwcmd pipe 3 config bw 64Kbit/s
$fwcmd add 310 pipe 4 all from 192.168.110.201/32 to any out xmit ${oif}
$fwcmd pipe 4 config bw 64Kbit/s


vidi li neko gresku?

a ovo radi:
Citat:

$fwcmd add pipe 37 all from any to any in recv ${oif}
$fwcmd pipe 37 config bw 128Kbit/s
$fwcmd add pipe 38 all from any to any out xmit ${oif}
$fwcmd pipe 38 config bw 128Kbit/s


a radi i ono gore ali kad imam malo unosa, a meni treba oko 15-ak (in and out) [p.s: ovo samo nagadjam, jer mi zaista nije jasno zasto nekad radi, a napravim istu izmjenu i ne radi]
#include <music.h>
#include <beer.h>
#include <girls.h>
main(){ run(partytime);}
---------
Moj licni sajt
Moj wap sajt--offline
 
Odgovor na temu

[es] :: Linux mreže :: Linux NAT+Poboljsanja!?

[ Pregleda: 3305 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.