Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 (endret) skal bruke iptables nå. men før jeg beveger meg inn på det helt lurer jeg på hva jeg bruker for å droppe alle bortsett fra de få jeg bruker..kan jeg iptables -A INPUT -i eth0 -p tcp -m tcp --dport 00000-99999 -j DROP iptables -A INPUT -i eth0 -p tcp -m udp --dport 00000-99999 -j DROP og så accepte: iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT 5821137[/snapback] Njaaa.. Helst ikke Kan kanskje være greit å se litt på Linuxguiden sin iptablesguide. Kan kanskje være greit å se på feks Firestarter visst det blir for komplisert, men det er egentlig ikke så vanskelig å sitte seg inn i. Ett kjappt sammensatt iptables script som egentlig forklarer seg selv med at den åpner for de du sier den skal åpne for, mens resten er lukket: #!/bin/bash echo " _________________________________" echo " ---------------------------------" echo " /\ " echo " \/ S T A R T E R " echo " ---------------------------------" echo " ---------------------------------" echo " F I R E W A L L " echo " _________________________________" echo " ---------------------------------" #flush eksisterende regler iptables -F iptables -t filter -F iptables -t nat -F iptables -t mangle -F #slett kjeder iptables -X #reset pakke tellere iptables -t filter -Z iptables -t nat -X iptables -t mangle -X #enable ip forwarding echo 1 > /proc/sys/net/ipv4/ip_forward #Regler iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 9900 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 113 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 43 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 9900 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 3389 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 137:139 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 43 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -i lo -j ACCEPT #logg: iptables -A INPUT -j LOG --log-prefix "Dropped input by default:" --log-level 6 iptables -A OUTPUT -j LOG --log-prefix "Dropped output by default:" --log-level 6 iptables -A FORWARD -j LOG --log-prefix "Dropped output by default:" --log-level 6 #dropping iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP Endret 27. mars 2006 av Lassie Lenke til kommentar
-Logos- Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe Lenke til kommentar
Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe 5821289[/snapback] Hehe Been there, done that. Derfor lærte jeg meg å alltid huske: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT slik at det ikke skjer igjen. kort fortalt når du er koblet til kaster den deg ikke ut selv om du dummer deg ut Lenke til kommentar
-Logos- Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 men da kan jeg bare legge inn mine porter i det scriptet du la ut.. også kan trenger jeg ikke kjøre det igjen seinere? ikke at jeg trenger å kjøre det hver gang jeg starter opp... slik jeg forstår det? Lenke til kommentar
WonderBjarne Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Mens vi er inne på iptables, ser skriptet mitt greit ut? #!/bin/bash # Renser kjedene iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # Setter policy på kjedene iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # lo-grensesnittet iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT # Spesielle regler (input) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -s 10.0.0.2 --dport 2288 -j ACCEPT iptables -A INPUT -p tcp --dport 8888 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Spesielle regler (output) iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Port 2288 brukes av ssh, og port 80 og 8888 brukes av apache. Noe jeg burde forandre slik at det blir sikrere? Lenke til kommentar
kyrsjo Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe 5821289[/snapback] Hehe Been there, done that. Derfor lærte jeg meg å alltid huske: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT slik at det ikke skjer igjen. kort fortalt når du er koblet til kaster den deg ikke ut selv om du dummer deg ut 5821341[/snapback] Nah. Jeg pleier somregel å si "ipconfig eth0" og blunke dumt mot det brått døde skallet... Før.. Ojda... Dette... var... ssh det ja! Üps! Lenke til kommentar
olefiver Skrevet 28. mars 2006 Del Skrevet 28. mars 2006 Ah! De prøvelser en stakkars distro-utvikler må møte i hverdagen... CentOS in the News : It's L-i-n-u-x, that is an Operating System Dette er historien om den gangen den onde Linux distoren, GentOS, hacket seg inn på maskinene til byen Tuttle i Oklahoma, USA. Historien havnet også på The Register: Oklahoma city threatens to call FBI over 'renegade' Linux maker Som også ble bedt om å stoppe: Oklahoma man asks Reg to turn off the internet Lenke til kommentar
Hell Toupée Skrevet 28. mars 2006 Del Skrevet 28. mars 2006 Ja, nei... Bygetullinger og disse EDB-maskinene går sjelden sammen. Lenke til kommentar
JBlack Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Signér mot innføring av softwarepatenter i Norge: http://www.petitiononline.com/noswpat/petition.html Lenke til kommentar
WonderBjarne Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 VG Nett har en sak om Linux. 31. mars er det nettmøte med en fyr fra Novell. Lenke til kommentar
kyrsjo Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Signér mot innføring av softwarepatenter i Norge:http://www.petitiononline.com/noswpat/petition.html 5832013[/snapback] Hmm? Noen planer om det i Norge? Vi har vel noe liggende noe bakover i denne tråden, kan jo ta en titt på det... Mer info, noen steder? Lenke til kommentar
Flexo Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Fikk plutselig bruk for Open Office og tenkte jeg skulle prøve å installere det, i Slackware. Men det eneste jeg fant var .deb og .rpm. På forhånd takk Lenke til kommentar
fsck Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Fikk plutselig bruk for Open Office og tenkte jeg skulle prøve å installere det, i Slackware. Men det eneste jeg fant var .deb og .rpm. På forhånd takk 5834248[/snapback] http://www.linuxpackages.net/search_view.p...office&ver=10.2 Lenke til kommentar
Flexo Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Fikk plutselig bruk for Open Office og tenkte jeg skulle prøve å installere det, i Slackware. Men det eneste jeg fant var .deb og .rpm. På forhånd takk 5834248[/snapback] http://www.linuxpackages.net/search_view.p...office&ver=10.2 5834421[/snapback] I love you Lenke til kommentar
stigfjel Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Synes OpenOffice gjør en slett jobb ved å ikke tenke på Slackware-baserte distroer når de utgir programvaren sin. At vi Slackware-brukere må ty til 3.parts pakker er for dårlig. Men det går an å prøve med rpm-pakkene. Det er godt mulig Slackware takler dem. Lenke til kommentar
LessThanJake Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Det finnes bare en pakke som er virkelig portabel, og det er kildekoden. Om det blir utgitt andre pakker i tillegg, så er det bare luksus, og ekstrasevice! De fleste distroer klarer da å lage sine egne pakker uansett. Lenke til kommentar
Hell Toupée Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Synes OpenOffice gjør en slett jobb ved å ikke tenke på Slackware-baserte distroer når de utgir programvaren sin. At vi Slackware-brukere må ty til 3.parts pakker er for dårlig. Men det går an å prøve med rpm-pakkene. Det er godt mulig Slackware takler dem. 5835597[/snapback] Bare dra en rpm2tgz. Fungerer ypperlig. Lenke til kommentar
stigfjel Skrevet 29. mars 2006 Del Skrevet 29. mars 2006 Joda, rpm2tgz fungerer fint, men som sagt er det noen rpm-pakker som kan installeres i Slackware. Man kan også administrere disse pakkene i pkgtool. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå