[es] - sta predstavlja eq cmd kod PIX-a

mird

Član broj: 106773
Poruke: 70
*.PPPoE-959.sa.bih.net.ba.

Profil

^{14.02.2007. u 11:07 - pre 204 meseci}

kratko pitanje:

Sta predstavlja cmd u slijedecem dijelu ispisu sa PIX-a:

access-list outside-access-in permit tcp host PRVI host DRUGI eq cmd

Koji je to protokol? Port?

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.dynamic.sbb.co.yu.

+101 Profil

Re: sta predstavlja eq cmd kod PIX-a

^{14.02.2007. u 11:37 - pre 204 meseci}

Sluzi za rcmd (Remote commands) servis, port je 514.

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

mird

Član broj: 106773
Poruke: 70
*.PPPoE-1995.sa.bih.net.ba.

Profil

Re: sta predstavlja eq cmd kod PIX-a

^{14.02.2007. u 15:29 - pre 204 meseci}

Hvala na pomoci!

Odgovor na temu

mird

Član broj: 106773
Poruke: 70
*.PPPoE-723.sa.bih.net.ba.

Profil

Re: sta predstavlja eq cmd kod PIX-a

^{25.02.2007. u 05:23 - pre 204 meseci}

Zao mi je priznati ali moram ponovo pitati slicnu stvar:

U primjeru: access-list outside-access-in permit tcp host PRVI host DRUGI eq 22

moje tumacanje je: pusti vanjskog hosta PRVI u unutrasnju mrezu ka hostu DRUGI po portu 22

Da li je moje tumacanje ispravno?
Da li komunikacija po portu 22 ide u oba smjera samo uz pomoc ovog pravila?
Kako postaviti ekvivalentno pravilo u IPTables?

Probao sam ovako:

#host PRVI po SH protokolu na host DRUGI
$IPTABLES -A FORWARD -p tcp --source IP_PRVI \
--dport 22 -i $EXTIF -d IP_drugi -m state \
--state NEW,ESTABLISHED,RELATED -j ACCEPT

i na testom primjeru radi!
Ali tek nakon sto sam dodao na kraju:
$IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Negdje grijesim ali zaista ne razumijem gdje?????
U logici pix-a ili IPTables?

Odgovor na temu

Milan Andjelkovic
System Engineer, Radijus Vektor
Beograd

Član broj: 4476
Poruke: 3281
*.eunet.yu.

Jabber: mangel@elitesecurity.org
ICQ: 289618701
Sajt: www.linkedin.com/in/milan..

+8 Profil

Re: sta predstavlja eq cmd kod PIX-a

^{25.02.2007. u 15:01 - pre 204 meseci}

Ček, ček... Jel na pixu sve radi kako treba? Ako radi kako treba, ti hoćeš samo da preslikaš tu funkcionalnost na iptables, jel tako?

To je onda:

iptables -A FORWARD -s $SOURCE_IP -d $DESTINATION_IP -p tcp --dport 22 -j ACCEPT

Treba ti i drugi smer, što može da se izvede na više načina, kao i većina stvari, ali recimo:

iptables -A FORWARD -s $DESTINATION_IP -d $SOURCE_IP -p tcp --sport 22 -j ACCEPT

Ukoliko hoćeš da koristiš nešto slično pixovoj filozofiji onda bi umesto poslednjeg (drugog) pravila mogao da ubaciš recimo sledeće:

iptables -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -j ACCEPT

gde je LAN_INTERFACE trusted strana (veći security level), a WAN_INTERFACE je less trusted strana (manji security level).

ex.mangel

"Sišla je stepeništem kao klavirom."

_{Stay in the house...}

OV SM
LA PK

Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.dynamic.sbb.co.yu.

+101 Profil

Re: sta predstavlja eq cmd kod PIX-a

^{25.02.2007. u 15:32 - pre 204 meseci}

Citat:

mird: Da li je moje tumacanje ispravno?
Da li komunikacija po portu 22 ide u oba smjera samo uz pomoc ovog pravila?

Na pix-u ce to raditi ako se u drugom smeru propusta sve. Inace, kao i za primer koji ti je Milan objasnio, moras imati i pravilo koje propusta od ssh servera ka spolja.

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."

Odgovor na temu

mird

Član broj: 106773
Poruke: 70
*.PPPoE-931.sa.bih.net.ba.

Profil

Re: sta predstavlja eq cmd kod PIX-a

^{26.02.2007. u 12:31 - pre 204 meseci}

Na piksu sve radi kako treba ali ne i na mojim IPTables. :-)

Pravilo sa kojim sve pusta vani na pix-u postoji (mada bi ga trebalo ukinuti, nekada u buducnosti)

Ova kombinacija:
#host PRVI po SH protokolu na host DRUGI
$IPTABLES -A FORWARD -p tcp --source IP_PRVI \
--dport 22 -i $EXTIF -d IP_drugi -m state \
--state NEW,ESTABLISHED,RELATED -j ACCEPT

#odgovori po uspostavljenim konekcijama
$IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

radi i na testnom primjeru i na jednom manjem pix-u tj, zamjeni pix-a sa IPTables koju sam napravio prosle sedmice.

Konfiguracije su iste(na istom principu). Sto se tice pravila, slicna su, ali ih sada ima mnogo vise. Pitanje: Da li IPTables moze da vrsi da filtriranje/proslijedjivanje na vise IP adresa a po jednom portu? (vise pravila kao ovo gornje #host PRVI...) a sa jednim pravilom za odgovorom: $IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Obzirom da sada imam jedan eth interface vise da li je potrebno postaviti neko preciznije pravilo od:
$IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
npr po interfejsima?

za kraj, jedan mali ispis greske od strane kernele:
IN=ETH0 OUT=ETH2 SRC=IP_PRVI DST=IP_DRUGI SPT=22 DPT=neki_random_port...

Pretpostavljam da je ovaj ispis nastao kao rezultat neuspjelog odgovora na uspostavljenu konekciju (uspostavljena ili pokusana , ali ne prolazi nazad)?

_{[Ovu poruku je menjao mird dana 26.02.2007. u 16:33 GMT+1]}

Odgovor na temu