Regu

Masz problemy z siecią bądź internetem? Zapytaj tu
ODPOWIEDZ
robero
Beginner
Posty: 164
Rejestracja: 05 października 2009, 11:43

Reguły dla LMS w iptables

Post autor: robero »

Witam.
Chcę aby Iptables blokował wszystko oprócz połączeń z sieci wewnętrznej do LMS. Nie wiem i nie mogę znaleźć z jakich portów korzysta ten program/serwer.
Serwer będzie miał adres wewnętrzny, zero kontaktu ze światem zewnętrznym.

Mam tyle:

Kod: Zaznacz cały

iptables -P INPUT DROP
reguła dająca wszystkim w NAT dostęp do LMS - proszę o pomoc
Czy to wystarczy? Czy jeszcze dodać na początku:

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn
Czy wystarczy jeśli reguły zapiszę w:

Kod: Zaznacz cały

/etc/sysconfig/iptables
Czy muszę zrobić coś jeszcze?
Na górę
v-sgfx
Posty: 84
Rejestracja: 16 maja 2007, 22:07
Lokalizacja: olkusz

Post autor: v-sgfx »

Po co reguła?
W LMS, w pliku konfiguracyjnym, czyli: lms.ini, masz linijkę:

Kod: Zaznacz cały

; allow_from = 192.168.0.1/90
Z takiej puli hostów, użytkownicy mogą korzystać z LMS. Ewentualnie możesz dodać po przecinku zewnętrzne hosty, np.

Kod: Zaznacz cały

; allow_from = 192.168.0.1/90, 212.xxx.xx.xx
O ile się nie mylę, to port, o który Ci chodzi: 2029

Do tego, żadne reguły nie są Ci potrzebne w iptables, gdyż w pliku lms.ini zjeżdżając na dół możesz przeczytać w sekcji:

Kod: Zaznacz cały

[traffic_iptables]
Plik gdzie ma być zapisany skrypt do ustawienia reguł IPTABLES (plik ten zostanie wykonany zaraz po zakończeniu skryptu). Domyślnie - /etc/rc.d/rc.stats
Na górę
robero
Beginner
Posty: 164
Rejestracja: 05 października 2009, 11:43

Post autor: robero »

v-sgfx, dziękuję za odpowiedź. Czyli jak zablokuję wszystko w Iptables i ustawie połączenia dla kilku adresów w lms.ini to będzie poprawnie? Będą się łączyć?

Jeśli tak to proszę o odpowiedź co do tego Iptables, czy ta jedna linijka wystarczy, czy coś więcej trzeba.
Na górę
Awatar użytkownika
Bastian
Member
Posty: 1424
Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ

Post autor: Bastian »

Nie nie będzie. Iptables dzial niżej na poziomie jądra, a ustawienia programów z tcp_wrappera.
Na górę
v-sgfx
Posty: 84
Rejestracja: 16 maja 2007, 22:07
Lokalizacja: olkusz

Post autor: v-sgfx »

Racja, napisałem tylko o dostępie do LMS natomiast zablokowanie dostępu do Twojego serwera:

/etc/hosts.deny

Kod: Zaznacz cały

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# Version:      @(#)/etc/hosts.deny     1.00    05/28/93
#
# Author:       Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org
#
#
ALL:ALL
# End of hosts.deny.

Natomiast w /etc/hosts.allow

Kod: Zaznacz cały

#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided by
#               the '/usr/sbin/tcpd' server.
#
# Version:      @(#)/etc/hosts.allow    1.00    05/28/93
#
# Author:       Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org
#
#
ALL:192.168.0.x

# End of hosts.allow.
kolejne hosty dopisujesz w podobnej postaci jak wyżej:
ALL:192.168.0.2

itd...
Na górę
ODPOWIEDZ

Wróć do „Sieci”