Strona 1 z 2
Instalacja i konfiguracja iptables
: 01 września 2009, 17:25
autor: nieobecny
Witam, instalując drugi system, czyli czysta wersja systemu bez środowiska graficznego jest opcja czy zainstalować iptables czy nie. I tu mam pytanie. Jeśli nie zaznaczę iptables podczas instalacji pakietów, to jak potem zainstaluje iptables, to będę mógł przekopiować całą konfigurację iptables z innego systemu np z tego co jest jako live cd i jak to zrobić?
Oraz jak sprawdzić czy iptables jest dobrze skonfigurowany i czy jest dodany do startu wraz systemem i jak nie to jak go dodać?
Z góry dziękuję za odpowiedź.
: 01 września 2009, 17:53
autor: fnmirk
A jakbyś tak trochę na forum poszukał? W zainstalowanym systemie też nie zaszkodzi.
Kod: Zaznacz cały
apt-cache search iptables
apt-cache policy iptables
man iptables
: 05 września 2009, 17:59
autor: ketchup
Oraz jak sprawdzić czy iptables jest dobrze skonfigurowany i czy jest dodany do startu wraz systemem i jak nie to jak go dodać?
Na forum jest kilka plików konfiguracyjnych więc najlepiej jeden skopiować do /etc/init.d,
nazwać jak chcesz, może być firewall.sh
Potem zainstalować piękne narzędzie do sprawdzenie co startuje podczas uruchamiania sysvconfig i nim włączyć uruchamianie firewall.sh
A czy dobrze skonfigurowany to:
Co do skopiowania, to jeśli miałeś tam czysty iptables bez nakładek powinno
pójść.
: 11 września 2009, 14:43
autor: nieobecny
ketchup iptables mi działa tylko mam problem z kilkoma portami. A mianowicie chcę je zamknąć , lecz polecenia:
Kod: Zaznacz cały
iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP
iptables -I FORWARD -p tcp --dport 443 -j DROP
Nie zamykają portu tylko pisze :
Więc jest tylko filtrowany a nie całkowicie zamknięty?
: 11 września 2009, 16:12
autor: ketchup
iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP
Dodaje na koncy lub w srodku lancucha - w uproszczeniu, to samo dopisane w roznych miejscach
iptables -A INPUT -p tcp --dport 433 -j DROP - zamyka port na polaczenia przychodzace
Jesli masz reguly. Wyjsc na tym porcie i nawiazac polaczenie mozesz.
Nie znam wszystkich regul Twojego iptables , dlatego moge napisac tylko ogolna madrosc: pier wszystko zamykamy pote otwieramy tylko to co potrzebujemy . Wedlug tej zasady nie powinna byc problemow z zamykaniem portow.
: 11 września 2009, 17:56
autor: nieobecny
ketchup pisze:iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP
Dodaje na koncy lub w srodku lancucha - w uproszczeniu, to samo dopisane w roznych miejscach
iptables -A INPUT -p tcp --dport 433 -j DROP - zamyka port na polaczenia przychodzace
Jesli masz reguly. Wyjsc na tym porcie i nawiazac polaczenie mozesz.
To znaczy z konsoli mi nie zamknie tak? Muszę to dopisać do pliku w/etc tak?
A znasz może jakąś stronę abym mógł sobie zewnętrznie przeskanować porty? Znalazłem tą ale to chyba do Windowsa jest program
: 12 września 2009, 03:03
autor: KeFaS
: 12 września 2009, 08:08
autor: nieobecny
Dzięki, ale z czego mam wpisać hasło tam pod adresem e-mail?
Oraz nie mogę znaleźć pliku konfiguracyjnego iptables .Mam zainstalowany Firestarter i nie wiem gdzie dodać reguły. Bo w pliku /etc/init.d/firewall nic nie ma ?
: 13 września 2009, 00:34
autor: KeFaS
Chyba wymyślasz sobie własne hasło i potem jak na maila Ci coś przychodzi to musisz je podać, żeby dostać wyniki skanu. Ale nie jestem pewny, bo nigdy z tego skanera online nie korzystałem.
nieobecny pisze:Oraz nie mogę znaleźć pliku konfiguracyjnego iptables .Mam zainstalowany Firestarter i nie wiem gdzie dodać reguły. Bo w pliku /etc/init.d/firewall nic nie ma ?
To go utwórz i wpisz tam własne reguły lub je "wygeneruj" za pomocą tego programu.
: 13 września 2009, 07:19
autor: nieobecny
KeFaS pisze:To go utwórz i wpisz tam własne reguły lub je "wygeneruj" za pomocą tego programu.
W pliku /etc/init.d/firestarter jest taki wpis:
Kod: Zaznacz cały
#!/bin/sh
#
# Init file for the Firestarter firewall
#
# chkconfig: 2345 11 92
#
# description: Starts, stops, and lock the firewall
#
# Script Authors:
# Tomas Junnonen <majix@sci.fi>
# Paul Drain <pd@cipherfunk.org>
#
# config: /etc/firestarter/configuration
#
### BEGIN INIT INFO
# Provides: firestarter
# Required-Start: $syslog
# Required-Stop: $syslog
# Should-Start: $local_fs $network
# Should-Stop: $local_fs $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall
# Description: Run firestarter-configured firewall script.
### END INIT INFO
. /lib/lsb/init-functions
FS_CONTROL="/etc/firestarter/firestarter.sh"
[ -x /usr/sbin/firestarter ] || exit 0
[ -x $FS_CONTROL ] || exit 0
[ -s /etc/firestarter/configuration ] || exit 0
RETVAL=0
start() {
log_begin_msg "Starting the Firestarter firewall..."
$FS_CONTROL start > /dev/null
RETVAL=$?
if [ $RETVAL -eq 0 ]]; then
log_end_msg 0
else
log_end_msg 1
fi
return $RETVAL
}
lock() {
log_begin_msg "Locking the Firestarter firewall..."
$FS_CONTROL lock > /dev/null
RETVAL=$?
if [ $RETVAL -eq 0 ]; then
log_end_msg 0
else
log_end_msg 1
fi
return $RETVAL
}
# See how we were called.
case "$1" in
start)
start
RETVAL=$?
;;
stop)
stop
RETVAL=$?
;;
restart)
stop
start
RETVAL=$?
;;
force-reload)
stop
start
RETVAL=$?
;;
lock)
lock
RETVAL=$?
;;
status)
if [ -e /var/lock/subsys/firestarter -o -e /var/lock/firestarter ]; then
log_warning_msg "Firestarter is running..."
else
log_warning_msg "Firestarter is stopped"
fi
RETVAL=$?
;;
*)
log_success_msg "Usage: firestarter {start|stop|restart|force-reload|lock|status}"
exit 1
esac
exit $RETVAL
Ale nie wiem czy do niego mam dodać, i w którym miejscu oraz jaką konkretnie regułę aby zamknąć dany port?
Czy tą:
Kod: Zaznacz cały
iptables -A INPUT -p tcp --dport port -j DROP
Szkoda, że nie ma jakiegoś FAQ jak dodawać reguły i zmykać porty.