Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

iptables i lokalna mreža (pomoć)

[es] :: Linux mreže :: iptables i lokalna mreža (pomoć)

[ Pregleda: 4414 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Not now, John!

Član broj: 231
Poruke: 1318
*.dialup.blic.net.



+4 Profil

icon iptables i lokalna mreža (pomoć)17.02.2005. u 21:06 - pre 232 meseci
Da bih omogućio računarima u lokalnoj mreži pristup Web serveru i Samba serveru dodao sam sljedeće:
Code:
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p tcp -m multiport --destination-ports 80,137,138,139,445 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p udp -m multiport --destination-ports 80,137,138,139,445 -j ACCEPT

Dakle, želim da ograničim pristup samo na one portove koje moram.
Pitanje: treba li da dodam i
Code:
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT

da bih propustio i ICMP pakete?
Već je definisano:
Code:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Hoće li ovo posljednje pravilo da propusti sve potrebne ICMP pakete ili treba zaista ono gornje pravilo?
Ne bih da kroz firewall prolazi ništa što ne mora. ;)

Unaprijed hvala.
"I'd take the awe of understanding over the awe of ignorance any day."
- Douglas Adams
 
Odgovor na temu

noctua

Član broj: 10671
Poruke: 185
*.rcub.bg.ac.yu.



Profil

icon Re: iptables i lokalna mreža (pomoć)21.02.2005. u 08:55 - pre 232 meseci
Pozdrav!

Hm... Nisam siguran kako samba "komunicira" sa ostatkom win-world-a ali (nemoj me drzati za rec) gotovo da ti imcp protokol ne treba i da ga mozes zatvoriti...

Inace, on (icmp protokol) se najcesce koristi u ping-u... pa je cak i pozeljno da ga ukines... To je jedan od dobrih nacina da ti maxina ostane duze vreme mirna od spoljasnjih scanova i sl (pogotovu ako je u pitanju win).

Sa druge strane, mozes pustiti samo pojedine tipove icmp-a (tek koliko da se odradi ping i nista vise) a to su tipovi 0, 3, 5, 8, i 11. Dakle nesto ovog tipa:
Code:

  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

E, a ako se brines o "pingu (do) smrti" ili o slicnim poslasticama, postoji i za to resenje... kolko se secam odbacuju se paketi ciji je ttl van okvira odredjenih granica...

To sto je definisano ...ESTABLISHED i RELATED se odnosi na vec uspostavljene konekcije a ne na to sto ti hoces...

Nego da skratim pricu, po mom misljenju, ukoliko ga samba explicitno ne zahteva, NIJE ti potreban icmp protokol ( time gubis i PING) i ne moras da unosis ... -p ICMP -j ACCEPT... cak stavise mozes explicitno i da zabranis: ... -P ICMP -j DROP

PS. Generalno gledano, malo je ljudi koji uopste znaju da postoji ICMP... a jos je manje onih koji bi znali sta bi uradili sa njim... a da ne pricamo o broju onih koji bi znali da to i zloupotrebe, takvi bi se mogli "na prste" pobrojati...

PPS. A, ako nije tajna, cemu ce sluziti tako paranoicno stegnuta mreza??? Pravis DMZ? Vezbas se?
http://noctua4u.blogspot.com
http://moourl.com/shfb0
..:: Aquila non captat muscas ::..
 
Odgovor na temu

Not now, John!

Član broj: 231
Poruke: 1318
*.teol.net.



+4 Profil

icon Re: iptables i lokalna mreža (pomoć)21.02.2005. u 10:05 - pre 232 meseci
Malo sam čitao o administraciji mreža, Samba i sl. pa pitam čisto edukativno.
Nakon što sam postavio pitanje našao sam u iptables manualu:
Citat:
RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

što je vjerovatno sve što mi treba od ICMP.

Hvala na odgovoru.

BTW, šta je DMZ?
"I'd take the awe of understanding over the awe of ignorance any day."
- Douglas Adams
 
Odgovor na temu

dpop
Dragan Đ. Popović
VBD, IT
Brčko distrikt BiH

Član broj: 1879
Poruke: 400
81.94.9.*

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net


Profil

icon Re: iptables i lokalna mreža (pomoć)21.02.2005. u 12:40 - pre 232 meseci
Neće biti loše da pogledaš malo npr. http://www.shorewall.net i potražiš pojam DMZ....Inače ShoreWall je jedna od najkompletnijih iptables/netfilter firewall solucija i postoji i kao i RPM i DEB i TGZ...

Ako su ti potrebe manje kompleksne, pokušaj sa firestarter-om
http://www.fs-security.com/
Howdy & Stay tuned to ...ES.. :))
 
Odgovor na temu

[es] :: Linux mreže :: iptables i lokalna mreža (pomoć)

[ Pregleda: 4414 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.