Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Regu

https://www.debian.pl/viewtopic.php?t=24354

Strona 1 z 1

Reguły dla LMS w iptables

: 08 września 2011, 13:12
autor: robero
Witam.
Chcę aby Iptables blokował wszystko oprócz połączeń z sieci wewnętrznej do LMS. Nie wiem i nie mogę znaleźć z jakich portów korzysta ten program/serwer.
Serwer będzie miał adres wewnętrzny, zero kontaktu ze światem zewnętrznym.

Mam tyle:

Kod: Zaznacz cały

iptables -P INPUT DROP
reguła dająca wszystkim w NAT dostęp do LMS - proszę o pomoc
Czy to wystarczy? Czy jeszcze dodać na początku:

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn
Czy wystarczy jeśli reguły zapiszę w:

Kod: Zaznacz cały

/etc/sysconfig/iptables
Czy muszę zrobić coś jeszcze?

: 08 września 2011, 13:33
autor: v-sgfx
Po co reguła?
W LMS, w pliku konfiguracyjnym, czyli: lms.ini, masz linijkę:

Kod: Zaznacz cały

; allow_from = 192.168.0.1/90
Z takiej puli hostów, użytkownicy mogą korzystać z LMS. Ewentualnie możesz dodać po przecinku zewnętrzne hosty, np.

Kod: Zaznacz cały

; allow_from = 192.168.0.1/90, 212.xxx.xx.xx
O ile się nie mylę, to port, o który Ci chodzi: 2029

Do tego, żadne reguły nie są Ci potrzebne w iptables, gdyż w pliku lms.ini zjeżdżając na dół możesz przeczytać w sekcji:

Kod: Zaznacz cały

[traffic_iptables]
Plik gdzie ma być zapisany skrypt do ustawienia reguł IPTABLES (plik ten zostanie wykonany zaraz po zakończeniu skryptu). Domyślnie - /etc/rc.d/rc.stats

: 08 września 2011, 13:42
autor: robero
v-sgfx, dziękuję za odpowiedź. Czyli jak zablokuję wszystko w Iptables i ustawie połączenia dla kilku adresów w lms.ini to będzie poprawnie? Będą się łączyć?

Jeśli tak to proszę o odpowiedź co do tego Iptables, czy ta jedna linijka wystarczy, czy coś więcej trzeba.

: 08 września 2011, 13:51
autor: Bastian
Nie nie będzie. Iptables dzial niżej na poziomie jądra, a ustawienia programów z tcp_wrappera.

: 08 września 2011, 14:07
autor: v-sgfx
Racja, napisałem tylko o dostępie do LMS natomiast zablokowanie dostępu do Twojego serwera:

/etc/hosts.deny

Kod: Zaznacz cały

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# Version:      @(#)/etc/hosts.deny     1.00    05/28/93
#
# Author:       Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org
#
#
ALL:ALL
# End of hosts.deny.

Natomiast w /etc/hosts.allow

Kod: Zaznacz cały

#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided by
#               the '/usr/sbin/tcpd' server.
#
# Version:      @(#)/etc/hosts.allow    1.00    05/28/93
#
# Author:       Fred N. van Kempen, <waltje@uwalt.nl.mugnet.org
#
#
ALL:192.168.0.x

# End of hosts.allow.
kolejne hosty dopisujesz w podobnej postaci jak wyżej:
ALL:192.168.0.2

itd...
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl