<=====================================8<=====================================>
Posted By: Roumen (Roumen) on 'Koudink'
Date: Fri 24.9.2004 14:57.05
Title: Re: a dalsi problem - sitovka pada
eth1 IEEE 802.11-DS ESSID:"CZFree.Net.Keiss" Nickname:"gw"
Jak to delas, ze se ti wlan karta hlasi jako eth? ;-)
orinoco-cs driver ma karty normalne jako ethx
hostap driver ma karty jako wlanx
Hmmh...ja mam hostap, tak proto me to asi prekvapilo. ;-)
Martin OZZY Lipinsky
Safra...to je trapas. Ted se zjistilo, ze v praci sedim vedle tvyho brachy!
B-))) Byl tu kolega a cumi pres rameno (smirak) ;-) a najednou zarval "Martin
OZZY Lipinsky?!" a ja na nej "Ty ho znas?" a on jen tak pomrkal na kolegu
vedle me. Tak nejak sem si dal dohromady, ze se taky jmenuje Lipinsky. B-))
Roumen
For more information about me use:http://www.roumen.cz/
<=====================================8<=====================================>
Posted By: JiMo (. o O ( How do I look? )) on 'Koudink'
Date: Mon 27.9.2004 16:30.39
Title: iptables
Ahojky,
mam zajimavy problem - po nainstalovani filtru v iptables (jak jsem postoval
driv) mi prestalo chodit ftp, lepe receno chodi mi ftp jen v pasivnim modu.
Tusite nekdo, co se musi jeste povolit?
A s tim (mozna?) souvisejici - snazil jsem se rozebehnout ldcc, resp. dctc.
Mate nekdo nejake zkusenosti? Podari se mi pripojit na hub, ale nestahnu si
od nikoho nic, ani seznam souboru - a mam pocit, ze ani nikdo nic ode me.
Zajimave je, ze z vnitrni site dc jede.
Jeste nejake info:
gw:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:10.24.21.17
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
gw:~# iptables -L -t filter
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with
icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
gw:~# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
JiMo:)
All I want is a warm bed, kind word and unlimited power.
<=====================================8<=====================================>
Posted By: Tuttle (Na moje memy mi nemakej!) on 'Koudink'
Date: Mon 27.9.2004 16:56.01
Title: Re: iptables
Ahojky,
mam zajimavy problem - po nainstalovani filtru v iptables (jak jsem postoval
driv) mi prestalo chodit ftp, lepe receno chodi mi ftp jen v pasivnim modu.
Tusite nekdo, co se musi jeste povolit?
A s tim (mozna?) souvisejici - snazil jsem se rozebehnout ldcc, resp. dctc.
Mate nekdo nejake zkusenosti? Podari se mi pripojit na hub, ale nestahnu si
od nikoho nic, ani seznam souboru - a mam pocit, ze ani nikdo nic ode me.
Zajimave je, ze z vnitrni site dc jede.
To je Direct Connect? Pokud to nevis: Tam muzou mezi sebou stahovat (vc.
pouheho seznamu souboru) pouze dve klienti, z nichz jeden je pasivni a druhy
aktivni, pripadne oba aktivni. Pokud jste oba pasivni, smula. Obvykle se stav
aktivni/pasivni ukazuje u lidi ikonkou (graficky klient).
Aktivni ponekud nelogicky znamena, ze jeho sw posloucha na verejnem IPcku.
Pasivni je nekde za firewallem. Pokud aktivni neco pozaduje od pasivniho, tak
ten mu to natlaci (push).
Co jsem nekde cetl, tak ten tvuj problem muze taky znamenat, ze mas stav
aktivni/pasivni nastaveny tak, ze to neodpovida realite. Zkus to prepnout
(a pripadne pak restartovat klienta).
Jeste nejake info:
gw:~# iptables -L -t nat
Bud zverejnuj iptables -nvL nebo lepe primo svuj komentovany skript, kterym ta
pravidla generujes. Lip se to cte a je tam vsechno. Tady ne.
SNAT all -- anywhere anywhere to:10.24.21.17
Huh, tohle jsi nepopsal (drivejsi thread jsem necetl peclive). Nevim, jestli
to to FTPcko neovlivni.
gw:~# iptables -L -t filter
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Tady poustis dovnitr uplne vsechno? Asi se ta dve pravidla lisi sloupci, ktere
tu nejsou videt, ne? Interfaces napriklad.
Zkontroluj taky, jestli mas aktivni modul netfilteru pro rozpoznavani FTPcka.
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with
icmp-port-unreachable
Taky jsem chvili pri aktivaci firemniho firewallu saskoval se slusnosti na
siti. Nakonec je muj firewall na zatrzene pakety zvenku uplne tichy krome dvou
doporucovanych pripadu auth portu (113, tcp-reset) a pravidla "-p TCP
--tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with
tcp-reset" (ochrana pred spoofovanim).
Ale ruzne ortodoxni nazory hlasaji oboji a ty dva tabory se na Netu casto
velmi hadaji. Vyber si co chces. :-)
T.
<=====================================8<=====================================>
Posted By: Covex (mi'lius) on 'Koudink'
Date: Mon 27.9.2004 18:55.23
Title: Re: iptables
Ahojky,
mam zajimavy problem - po nainstalovani filtru v iptables (jak jsem postoval
driv) mi prestalo chodit ftp, lepe receno chodi mi ftp jen v pasivnim modu.
Tusite nekdo, co se musi jeste povolit?
modprobe ip_conntrack_ftp?
JiMo:)
All I want is a warm bed, kind word and unlimited power.
Covex
<=====================================8<=====================================>
Posted By: JiMo (. o O ( How do I look? )) on 'Koudink'
Date: Tue 28.9.2004 0:20.06
Title: Re: iptables
To je Direct Connect? Pokud to nevis: Tam muzou mezi sebou stahovat (vc.
pouheho seznamu souboru) pouze dve klienti, z nichz jeden je pasivni a druhy
aktivni, pripadne oba aktivni. Pokud jste oba pasivni, smula. Obvykle se
stav aktivni/pasivni ukazuje u lidi ikonkou (graficky klient).
Aktivni ponekud nelogicky znamena, ze jeho sw posloucha na verejnem IPcku.
Pasivni je nekde za firewallem. Pokud aktivni neco pozaduje od pasivniho,
tak ten mu to natlaci (push).
Je to v ramci czf, pocitac primo pripojeny, takze aktivni a je to tak take
nastavene.
Jeste nejake info:
gw:~# iptables -L -t nat
Bud zverejnuj iptables -nvL nebo lepe primo svuj komentovany skript, kterym
ta pravidla generujes. Lip se to cte a je tam vsechno. Tady ne.
OK, budu, diky za pouceni. :)
Kazdopadne skript je vzany doslova z Masquerading-Simple-HOWTO (akorat s
predelanim IP a ethx), tj. neco jako
+---------------------------------------------------------------------------+
|$> modprobe ipt_MASQUERADE # If this fails, try continuing anyway |
|$> iptables -F; iptables -t nat -F; iptables -t mangle -F |
|$> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 123.12.23.43 |
|$> echo 1 > /proc/sys/net/ipv4/ip_forward |
+---------------------------------------------------------------------------+
Then to secure it:
+---------------------------------------------------------------------------+
|$> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
|$> iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT |
|$> iptables -P INPUT DROP #only if the first two are succesful |
|$> iptables -A FORWARD -i eth0 -o eth0 -j REJECT |
+---------------------------------------------------------------------------+
Zatim jsem to tam hodil, aniz bych tomu moc rozumnel, dnes jsem delal jeste
dost dulezitou zkousku a potreboval jsem se na ni ucit. Zitra budu mit snad
cas, takze zkusim mrknout na man iptables a pochopit to. :) Jo a taky
rozchodit poradne dns server, nejak to blbne a nepreklada vnitrni adresy czf.
JiMo:)
All I want is a warm bed, kind word and unlimited power.
<=====================================8<=====================================>
Posted By: JiMo (. o O ( How do I look? )) on 'Koudink'
Date: Tue 28.9.2004 0:47.40
Title: Re: iptables
Ahojky,
mam zajimavy problem - po nainstalovani filtru v iptables (jak jsem
postoval
driv) mi prestalo chodit ftp, lepe receno chodi mi ftp jen v pasivnim
modu.
Tusite nekdo, co se musi jeste povolit?
modprobe ip_conntrack_ftp?
Az takhle? Safra safra... myslel jsem, ze za tohle muze nastaveni iptables...
nojo, v kernelu to neni, zkusim si to doprelozit jako modul a uvidim, prip. to
pujde do pristiho kernelu. :)
(po deseti minutach...)
Hmm, tak modprobe ok, ovsem situace se nezmenila. Nebo musim jeste prihodit
nejaky restart site ci neco podobneho?
(po dalsich 5 minutach s updatedb; locate ftp | grep ip)
aha, tak uz vim... modprobe ip_nat_ftp :)
Diky za tip, vubec me nenapadlo hledat to tady, myslel jsem, ze jde jen o
nastaveni iptables.
Covex
JiMo:)
All I want is a warm bed, kind word and unlimited power.
<=====================================8<=====================================>
Posted By: Tuttle (Na moje memy mi nemakej!) on 'Koudink'
Date: Wed 29.9.2004 20:18.15
Title: Re: iptables
Zatim jsem to tam hodil, aniz bych tomu moc rozumnel, dnes jsem delal jeste
dost dulezitou zkousku a potreboval jsem se na ni ucit. Zitra budu mit snad
cas, takze zkusim mrknout na man iptables a pochopit to. :) Jo a taky
rozchodit poradne dns server, nejak to blbne a nepreklada vnitrni adresy
czf.
Drsny, dat si do ostrych pravidel neco, cemu nerozumim. :-)
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
Povinna cetba (krome velmi strucneho manualu k iptables samotnych) pro vsechny
zacinajici filtriky. :-)
T.
|
