Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

vatreni zid

[es] :: Linux mreže :: vatreni zid

[ Pregleda: 3382 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

gorang

Član broj: 728
Poruke: 316
62.108.126.*



+1 Profil

icon vatreni zid21.12.2002. u 14:50 - pre 237 meseci
Treba mi savet oko podesavanja firewall-a i to mozda manje sto se tice tehnike, a vise sta je pametno staviti pod zabrane. Evo kako izgleda sistem: RH8.0 (2.4 - iptables), ima tri mrezne kartice od kojih je prva (eth0) na javnoj adresi (npr. 11.22.33.44) i kojoj je gateway ruter koji dalje preko modema i frame relay-a ima vezu sa provajderom, druge dve kartice(h1/h2) su za lokalne mreze, jedna za 192.168.0.0/24 i druga za 10.0.30.0/24. Za pristup internetu iz lokala koristim NAT naredbu iptables-a, koju sam ubacio u rc.local i ona glasi (prethodno aktiviran IP forward u kernelu):
/sbin/iptables -t nat -A POSTROUTING -s 10.0.20.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

od bitnih servisa koji treba da su vidljivi spolja su webserver za host prezentacija, mail (sendmail), ftp, a iznutra sam mislio da forsiram upotrebu proxy servera (squid) i da zabranim portove za direktan izlaz http i ftp. Takodje bih hteo da iznutra (prema spolja) budu blokirani svi servisi koji povecavaju saobracaj (razni napster/kazza/realvideo servisi) a da normalno rade slabije zahtevni irc/icq

RH ima neki wizard 'lokkit', koji sam podesio na 'no firewall' (da me ne bi zbunjivao), da li mi on moze pomoci za pocetak?

Slobodno mi recite ukoliko negde gresim... i da, procitao sam vecinu poruka na forumu koji su vezani za firewall, kao i par stranih tekstova (onoliko koliko su mi bili jasni), no voleo bih da mi neko prikaze njegovo resenje sta je i kako blokirao od paketa (preko iptables!). Hvala na razumevanju.
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.net.yu

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: vatreni zid21.12.2002. u 21:51 - pre 237 meseci
Helou,

Citat:

od bitnih servisa koji treba da su vidljivi spolja su webserver za host prezentacija, mail (sendmail), ftp, a iznutra sam mislio da forsiram upotrebu proxy servera (squid) i da zabranim portove za direktan izlaz http i ftp. Takodje bih hteo da iznutra (prema spolja) budu blokirani svi servisi koji povecavaju saobracaj (razni napster/kazza/realvideo servisi) a da normalno rade slabije zahtevni irc/icq



Proxy server mozes da forsiras sa upotrebom firewall-a ( iptables u ovom slucaju ), tako sto ces sve zahteve ka http ( --dport 80 ) servisu da "prisilno" guras na host sa proxy-em na sebi.

E sad, tu sto si naveo da zelis da blokiras "raznim" servisima, mozes da sredis tako sto ces da na INPUT tabelu stavis default policy na DROP/DENY, uz naravno propustanje zahteva ka proxy serveru, sopstvenih konekcija ka spolja.

PS: Squid moze sasvim lepo da radi i kao irc/icq gateway, tako da ako je potrebna i vise restriktivna zona, maskarada moze skroz da se iskljuci.
To opet potrazuje drzanje lokalnog DNS-a.

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

gorang

Član broj: 728
Poruke: 316
62.108.126.*



+1 Profil

icon Re: vatreni zid24.12.2002. u 12:29 - pre 237 meseci
hvala na sugestijama...

Jos samo ovo: sta je ono sto bih morao da blokiram od paketa jer je masina trenutno kao na dlanu :) sta od tcp/udp ?
 
Odgovor na temu

[es] :: Linux mreže :: vatreni zid

[ Pregleda: 3382 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.