Strona 3 z 3
: 27 sierpnia 2014, 11:33
autor: Yampress
wpuścić ruch na porty na których działają poszczególne deamony : mysql i http, wypścić połączenie już nawiązane
Ne serwerach takich wynalazków jak Gufw nikt nie używa.
: 29 sierpnia 2014, 22:17
autor: klavierkrk
Yampress pisze:wpuścić ruch na porty na których działają poszczególne deamony : mysql i http, wypścić połączenie już nawiązane
Ne serwerach takich wynalazków jak Gufw nikt nie używa.
a mozna sprobowac przez MAC ?
tzn wpuscic do sieci wszystko co pochodzi od konkretnego adresu MAC . Tak umiem zrobic, byloby najprosciej.
: 29 sierpnia 2014, 22:32
autor: Yampress
Można. Tylko po co. Jeśli postawisz kiedyś serwer to nie będziesz filtrował po MAC??, bo on działa tylko w lanie, a nie w globalnym internecie. Więc zupełny bezsens. Podszycie się pod mac żaden problem...
entries/236-Zmiana-adresu-MAC-karty-sieciowej
Zmieniam adres IP na twój, zmieniam MAC na twój i już jestem na twoim serwerze . Żadne zabezpieczenie
Boisz się hakierów na virtualboxie że tak obudowujesz firewalami? Nie stawiaj żadnego firewala na virtualboxie.
: 30 sierpnia 2014, 00:56
autor: klavierkrk
sa takie dwie regulki:
Kod: Zaznacz cały
iptables -P INPUT DROP
iptables -A INPUT -p tcp -s 192.168.1.2 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
zamiast 00:00:00.... mam oczywiscie swoj adres MAC.
Generalnie druga regulka wiaze MAC adress z adresem IP (dwa warunki musza byc spelnione zeby bylo ACCEPT).
Dziala, da sie polaczyc z HOSTa na GOSCIA, ale zastanawiam sie czy to dobrze jest
Natomiast tutaj:
http://ubuntuforums.org/showthread.php?t=910933 -
jest taki konfig:
Kod: Zaznacz cały
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ten drugi chyba jest dobry, bo zalozyciel tego tematu tez chce to ustawic na VirtualBoxie.
Co o tych konfigach sadzic?
: 30 sierpnia 2014, 10:01
autor: Yampress
Chyba nie bo ppp0
Gdzie masz taki interfejs na virtualboxie?
: 30 sierpnia 2014, 11:50
autor: klavierkrk
Yampress pisze:Chyba nie bo ppp0
Gdzie masz taki interfejs na virtualboxie?
tak, oczywiście eth0 lub eth1 lub eth2 ...
: 30 sierpnia 2014, 17:18
autor: klavierkrk
ostatecznie (nie sprawdzalem jeszcze ssh/ftp) sa takie regulki:
wszystko zablokowane, np. przez GUFW, a uwolnione sa:
Kod: Zaznacz cały
iptables -A INPUT -p tcp -s 192.168.1.2 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -I INPUT -s 192.168.1.0/24 -p tcp -m multiport --dport 137,138,139,445 -j ACCEPT
ta druga uwalnia SAMBE (porty dla samby) dla okreslonego IP (localhost).
jak mam ufw standardowo ustawiony, to nie ma Apache/Samby.
Natomiast jak dodam te dwie regulki, to wszystko sie uwalnia i dziala.
Prawdopodobnie jeszcze trzeba cos dodac dla SSH/FTP.
eh, masakra, 4 dzien sie z tym bawie, ale juz chyba koniec
: 30 sierpnia 2014, 17:32
autor: Yampress
Sambę bedziesz wpuszczał na serwer? Samba działa tylko lokalnie, a nie globalnie
www łaczy się z mysqlem na localhoście dzięki php
Tyle ptrzeba Ci wiedzieć. Masz wpuścić ssh i www na serwer
content/402-Iptables-dla-poczatkujacych-cz.-1
content/403-Iptables-dla-poczatkujacych-cz.-2
content/404-Iptables-dla-poczatkujacych-cz.-3
content/405-Iptables-dla-poczatkujacych-cz.-4
i przestan sie bawic tym łubuntowym wynalazkiem
ufw
Także do tej pory nie zrobiłeś nic. Bo zamiast podążać drogę, którą ktoś Ci wskaże, próbujesz wykorzystać jakieś tam swoje ścieżki. Długo jeszcze będziesz błądził krążąc swoimi ścieżkami?