suser Δημοσ. 2 Μαρτίου 2008 Share Δημοσ. 2 Μαρτίου 2008 Αποφάσισα να μάθω και εγώ να παίξω με τα firewalls.Διάβασα το sticky του apoikou και έμαθα κάποια πράγματα.Έχω μια απορία: Δεν κατάλαβα τι είναι το INPUT & OUTPUT. suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
firewalker Δημοσ. 2 Μαρτίου 2008 Share Δημοσ. 2 Μαρτίου 2008 Δεν κατάλαβες απλά τις INPUT, OUTPUT ή τις αλυσίδες γενικά; Μου φαίνονται ξεκάθαρα στον οδηγό του apoikos. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 ok τα έμαθα τα chains! Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Τώρα έχω μια άλλη απορία σε σχέση με το iptables. 1)Πως γίνεται εγώ στο laptop μου να απαγορεύσω ή να επιτρέψω πρόσβαση σε ένα site.(π.χ.το www.in.gr) με την iptables? 2)Πως μπορώ να μάθω την ip ενός site? Ευχαριστώ προκαταβολικά! suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
firewalker Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 Το καλύτερο που μπορώ να σκεφτώ είναι ένα script που θα επιστρέφει την ip του site και θα την περνάει στο iptables. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Ώραια πες οτι βρήκα με καποιον τρόπο την ip του site,πως θα απαγορεύσω την είσοδο σε αυτή την ip μέσω iptables? suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
nske Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 Δε χρειάζεται script, τα ίδια τα iptables δέχονται και ονόματα DNS εκτός από ορίσματα διευθύνσεων IP. Αλλά καλύτερα, όπου δεν υπάρχει λόγος, να χρησιμοποιούνται διευθύνσεις IP -γιατί να περιπλέκουμε τα πράγματα;- 2)Πως μπορώ να μάθω την ip ενός site? Μπακάλικος τρόπος: >$ ping www.in.gr PING www.in.gr ([b]194.63.247.208[/b]) 56(84) bytes of data. ^C 1)Πως γίνεται εγώ στο laptop μου να απαγορεύσω ή να επιτρέψω πρόσβαση σε ένα site.(π.χ.το http://www.in.gr) με την iptables? 2 minimal παραδείγματα: # iptables -t filter -A OUTPUT -d 194.63.247.208 -j REJECT// κόβουμε οποιαδήποτε κίνηση προς την εν λόγω διεύθυνση # iptables -t filter -A OUTPUT -d 194.63.247.208 -p tcp --dport 80 -j REJECT // κόβουμε μόνο την κίνηση TCP προς την port 80. Το TCP χρησιμοποιείται ως transport protocol για το HTTP και οι HTTP servers ακούν by default στην port 80, οπότε είναι ένας αρκετά λογικός τρόπος για να αποκλείσουμε μόνο την κίνηση HTTP προς αυτή τη διεύθυνση. ΥΣ. Μην ξεχνάς μόνο ότι αυτά είναι κανόνες που συνθέτουν μια πολιτική, δεν είναι απλά χαζές ασυνάρτητες εντολές που λειτουργούν μεμονομένα. Η σειρά κάθε κανόνα στο σύστημα κανόνων είναι, όπως επισημαίνει ο Apoikos, σημαντικότατος παράγοντας. Επίσης το "προς" είναι λέξη-κλειδί: από κει καταλαβαίνεις ότι θέλεις να περιορίσεις εξερχόμενα πακέτα και άρα πρέπει να βάλεις τον κανόνα σου στην αλυσίδα OUTPUT. Αν ήθελες να κόψεις την εισερχόμενη από το site in.gr κίνηση θα σε ενδιέφερε η αλυσίδα INPUT. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
jim_p Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 Τώρα έχω μια άλλη απορία σε σχέση με το iptables.1)Πως γίνεται εγώ στο laptop μου να απαγορεύσω ή να επιτρέψω πρόσβαση σε ένα site.(π.χ.το www.in.gr) με την iptables? 2)Πως μπορώ να μάθω την ip ενός site? Ευχαριστώ προκαταβολικά! suser 1) Οπως και στα windows, αν προσθεσεις την καταλληλη γραμμη στο /etc/hosts, δεν προκειται να το ξαναδεις απο οποιονδηποτε browser στο pc σου. 2) Ο πιο απλος τροπος ειναι ενα extention του firefox που κανει αυτη τη δουλεια. Ο δυσκολος ειναι απο το whois η το ping νομιζω. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Nske όπως λες στα παραδείγματα κόβουμε οποιαδήποτε κίνηση προς την εν λόγω διεύθυνση.Με την εντολή αυτή (iptables -A OUTPUT -s 194.63.247.208 -j REJECT)δεν θα έπρεπε να μην ανοίγει η σελίδα in.gr από τον firefox? suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
nske Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 έκανα edit τον κανόνα αλλά δε σε πρόλαβα. Η σωστή παράμετρος είναι -d και όχι -s, αφού η εν λόγω διεύθυνση αντιπροσωπεύει διεύθυνση προορισμού και όχι προέλευσης. To "iptables -A OUTPUT -s 194.63.247.208 -j REJECT" που έγραψα κατά λάθος όριζε μια συνθήκη η οποία δε θα πληρούταν ποτέ. Θα γίνονταν reject όσα πακέτα έφευγαν (από οποιοδήποτε network interface) προερχόμενα από το ίδιο το PC, έχοντας διεύθυνση προέλευσης 194.63.247.208. Το οποίο είναι nonsense υπό φυσιολογικές συνθήκες, αφού αυτή η διεύθυνση δεν έχει οριστεί σε κάποιο interface και τα πακέτα που εξέρχονται από κάποιο interface αναγκαστικά πρέπει να έχουν μια έγκυρη διεύθυνση αυτού του interface. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Nske γιατί όταν δίνω την εντολή που μου έγραψες με την επιλογή -j REJECT δεν μου ανοιγει η σελίδα(καλό αυτό) αλλά όταν βάζω -j ACCEPT πάλι δεν μου ανοίγει η σελίδα (κακό αυτό) και χρειάζεται iptables -F για να ξανανοίξει? Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
nske Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 Γιατί, όπως εξηγεί αναλυτικά ο Apoikos, είναι εντολές που προσθέτουν κανόνες στο σύστημα κανόνων (ruleset) και η σειρά των κανόνων σε αυτό το σύστημα έχει σημασία. -A σημαίνει Append, δηλαδή πρόσθεσε τον κανόνα που ακολουθεί στο τέλος της αλυσίδας OUTPUT. Με αυτό που κάνεις, προσθέτεις 2 κανόνες που ταιριάζουν τα ίδια πακέτα, αλλά ο ένας τα κόβει (REJECT), ο άλλος τα αφήνει (ACCEPT) Το netfilter θα εφαρμόσει τον πρώτο κανόνα της αλυσίδας στον οποίον θα ταιριάξει ένα πακέτο. Αν ο target (-j) του πρώτου κανόνα που θα ταιριάξει σε ένα πακέτο είναι τερματικός (και το REJECT είναι τερματικός target), το πακέτο δεν θα ελεχθεί αν ταιριάζει με επόμενους κανόνες. Είναι ένας απλός τρόπος για να αντιμετωπίζονται λογικά σφάλματα αντίφασης στη διατύπωση του ruleset όπως το συγκεκριμένο. Με -F (flush) σβήνεις όλους τους κανόνες, οπότε, εφόσον δεν έχεις default DENY policy, δεν υπάρχει κάποιος κανόνας που να κόβει κάποιο πακέτο. ΥΣ. Μπορείς να δεις ολόκληρο το τρέχον σύστημα κανόνων δίνοντας iptables -L -vv Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Πως με την iptables -F μπορώ να σβήνω ένα μόνο κανόνα χώρις να τους σβήνω όλους μαζί? suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
nske Δημοσ. 4 Μαρτίου 2008 Share Δημοσ. 4 Μαρτίου 2008 Δε γίνεται με την -F, "τραβάει το καζανάκι" σε όλους τους κανόνες. Αλλά γίνεται με μια άλλη παράμετρο: -D' date=' --delete chain rule-specification -D, --delete chain rulenum Delete one or more rules from the selected chain. There are two versions of this command: the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match.[/quote'] Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suser Δημοσ. 4 Μαρτίου 2008 Μέλος Share Δημοσ. 4 Μαρτίου 2008 Το list των κάνονων μου είναι: Chain INPUT (policy ACCEPT 12772 packets, 9086K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 12372 packets, 4452K bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- any any anywhere http://www.in.gr reject-with icmp-port-unreachable 0 0 REJECT all -- any any anywhere http://www.tellas.gr reject-with icmp-port-unreachable Πως θα διαγράψω τον κανόνα της tellas.gr?suser Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.