ja sem s linuxem zacal vazne (na routeru) pred rokem a jako zacatecnik mi nejvic sednul ukazkovy firewall od Mirka Petricka http://www.petricek.cz/mpfw/. Zkousel sem i Shorewall, ale ten pro me byl absolutne nepruhledny. Webmin je super, ale zrovna na firewall se moc nehodi, aspon sem jeste nevidel propracovanej modul.
Většinou je zbytečné znovu vynalézat ruchadlo.
Na téhle adrese:
http://www.linuxguruz.com/iptables/
jsou scripty nastavující iptables fw pro většinu potřebných situací. Taky je tam pár tutoriálů a HOWTOs
Ačkoliv je vždycky lepší si to nakonec udělat sám (no, jak co ;) tak tyto scriptíky dají každému začínajícímu možnost se podívat kudy na to...
Zdravim, zprovoznil jsem routerFW(Athlon1000/256) na RedHatu 9 podle zdejsiho navodu, ale nekdy se mi stava, obzvlaste pri delsim hrani online her, ze server jakoby usne, ping vyleti nekam nad sekundu a server me odpoji, nebo me kicknou spoluhraci. Mel bych asi zduraznit ze ta hra(WolfET) jede na klientu s W2K a ne na tom servu :o)
V BIOSU jsem samozrejme vypnul HDD sleep a podobne featury. Muzete mi nekdo zkusit poradit co s tim? Nebo cim to muze byt?
Zdravim
Clanek je docela pekne napsanej, hodne mi to pripomina muj styl kdyz jsem psal o uplne tomtez asi pred 3/4 rokem, jen jsem to vzal vic rychlejc. Ale neodpustim si par poznamek, prijde mi ze autor rychle vyplivl do klavesnice to co se zrovna naucil a vic nad tim nepremejslel, coz je skoda, jiank bych tam totiz nasel zminku o ICMP paketech, ktere povolit a ktere ne. Ale jiank to je dobry.
Zdenek
Kvalita tohoto serialu se zvysuje. To ocenuju.
Ja jen dodam ty ICMP pakety at to vhodne doplnim.
Vytvorime si novy chain nazvany treba icmp
iptables -N icmp
a pridame povolene pakety do chainu icmp
iptables -A icmp -p icmp --icmp-type 0 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 3 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 8 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 11 -j ACCEPT
nakonec dame pravidlo ktere nam icmp pakety pri vstupu do chainu INPUT presmeruje do chainu icmp.Dame ho na zacatek chainu INPUT(-I INPUT 1)
iptables -I INPUT 1 -p icmp -j icmp
pokud paket nevyhovi ani jednomu pravidlu vychozi pravidlo chainu INPUT je ze se nevyhovujici pakety zahodi
To je fakt, ale já zde popisuju své zkušennosti nasbírané za půl roku pokusů takový router nachodit, až se konečně podařilo.
Detaily ohledně icmp jsem se skutečně nezbýval, místo toho je zde odkaz na článek Mirka Petříčka o firewallu, ten to rozebral úplně. Já také nepředpokládám, že by se někdo pokoušel vaši domácí bránu upingat k smrti :-)
ja kdyz jsem poprve studoval iptables - kdyz jsem rozchozoval prvni svuj server jako branu na modemové připojení, tak mi moc pomohlo ze jsem si "v clanku nazvane takzvane retezce INPUT,OUTPUT,FORWARD" - predstavil jako tabulky =(ono taky to tak je ipTABLES :)
To mi pak moc pohomlo pri dalsim konfigurovani, a iptables jedine zadavam rucne - nebo pomoci svych skriptu..
A jeste par nepresnosti - pokud je akce LOG - tak se paket zaznamena v logu,ale pokracuje v prochazeni tabulky dal. (v clanku uvedeno ze vzdy na akci skonci) Jsou i dalsi pravidla pripadne se da jako akce uvest jmena jinye tabulky kam skocit (a pak RETURN - navrat do predchozi tabulky)
Jeste jsem v clanku nepostrehl vysvetleni rozdilu DROP a REJECT (DROP - neposle absolutne zadnou odezvu - tedy chova se jako cerna dira, REJECT - vrati icmp paket s tim ze port je nedostupny, pripadne se da specifikovat jina ICMP hlaska)
Ale to jsou spise uz veci pro pokrocile, pro zacatecniky to staci, to co popsal autor ;) Dobra prace..
A jeste jeden vytecny zdroj informaci
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
Na NAT u staleho pripojeni je v POSTROUTING target SNAT nikoli MASQUERADE (ten se pouzije kdyz ma router dynamicky pridelenou verejnou IP).
A v realu je take vice nez vhodne pro takovy FW doplnit ochranu proti spoofingu, nespravnym ip na ruznych interfacech, remote localhost routingu, syn flood apod...
ono je este napriklad aj slusne na vonkajsom iface s verejnou adresou zablokovat odchadzanie privatov (vsetkych 3 - 10.0.0.0/8 172.16.0.0/12 a 192.168.0.0/16) - pri troska vacsej sieti sa takychto packetov putujucich von od klientov vo vnutri vyskytne dost vela... (teda da sa to riesit aj tym ze nemam default ale neaky router vonku mi oznamuje iba relevantne prefixy (v sucasnosti ich je priblizne 130500) ale pochybujem ze zaciatocnici sa budu hrat s niecim ako je dynamicky routing :-) )
Clanek se mi libil (timto autorovi dekuji za nakopnuti k psani vlastniho firewalu) nicmene nemohu nikde najit "teorii" jak na firewaly. Nejlepsim resenim je zda se zakazat vse a povolit jen to, co je potreba. Nicmene ja bych prave potreboval zakazat jen to co je nebezpecne a P2P a nechat zbytek povoleny (jedna se o internetovou gateway a uzivatele by me sezrali). Pokud by me nekdo mohl poslat link na nejakou teorii v cestine, byl bych bych mu neskonale vdecen.
Mimochodem existuje cesta jak blokovat provoz DC++?
Dobry den,
resim ted soje firewallovaci pravidla a jako vzor jsem pouzil jiz zde jednou zmineny http://www.petricek.cz/mpfw/ firewall Miroslava Petriceka, kteremu za nej velice dekuji. Problem je ze potrebuju pravidla pro output prepsat do na neco uplne ekvivalentniho bez pouziti $INET_IP. Konkretne se jedna o tyhle pravidla:
$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
V http://iptables-tutorial.frozentux.net/iptables-tutorial.html#INCLUDE.RCDHCPFIREWALL tutorialu iptables ten posledni radek nahradi timhle:
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
coz se mi ale nezda byt uplnym ekvivalentem, protoze to nepodchycuje pripad, kdy se z vnitrni site divam treba na stranky na te gw ap pouzivam k tomu domenu, ktera smeruje na publicip, misto adresy prirazene vnitrnimu interfacu.