W liście z pon, 23-06-2003, godz. 09:57, Andrzej Dalasinski pisze: Dziekuje Ci za odpowiedz :)
> Po co logujesz zablokowane połączenia? Tak na prawde nie ma to większego > sensu, jeśli chciałbyś reagować na wszystkie proste skany to pochłonęłoby > to cały twój czas! Logowalem je tylko przez chwile, zeby widziec kto to. Potem wylaczylem. > > > wyciagnalem z tego dwa wnioski: > > 1. Musze uruchamias exima jako stadalone. > prawdopodobnie pomoże ci > $ dpkg-reconfigure exim > (ale nie jestem pewien po nie użyam exima) Spoko z eximem sobie poradze. > Używasz 2.2.x? jeśli nie to przerzuć się na iptables odpadnie Ci problem > z DNS (i kilka innych) a patch-o-matic da ci kilka nowych często naprawdę > dobrych rozwiązań. Uzywam 2.2.x, ale jak widze rozwiazania jakie daje iptables to coraz blizszy jestem podjecia decyzji. > > > "Jeśli Twoje zapytania DNSowe są zawsze kierowane do tej samej > > zewnętrznej maszyny (albo bezpośrednio przez użycie serwera nazw w pliku > > '/etc/resolv.conf' lub przez użycie cache'u serwera nazw w trybie > > przekazywania), będziesz potrzebował tylko pozwolenia na połączenia TCP > > do tego serwera na port 'domain' z lokalnego portu 'domain' (jeśli > > używasz serwera nazw cache'ującego) lub na wyższy port (>1023) jeśli > > używasz '/etc/resolv.conf'." > Nie do końca rozumiem w czym może tu być problem... Ja tez nie rozumiem, ale jest problem :( > > > nie zalatwia tego wpisanie do pliku z portami udostepnionymi dla > > polaczen nadchodzacych i forwardowanych "nameserver". Nie moge polaczyc > > sie ani z sieci wewnetrznej ani z serwera z zadnym hostem uzywajach > > nazw, po adresach ip dziala ok. > Policy na OUTPUT ustaw sobie ACCEPT, jeśli nie zrobisz tego nie będziesz mógł > nawiązywać wielu połączeń... Tak tez myslalem, ale chcialem sie najpierw zapytac. > > > Co z tym zrobic zeby to poszlo? > `$path -I input -i ppp0 -s 192.168.1.0/24 -l -j DENY`; > `$path -I input -i ppp0 -s 127.0.0.0/24 -l -j DENY`; > nie ma sensu, bo i tak masz policy DENY... ale chwile potem mam wpuszcanie wszystkich polaczen na okreslone porty z sieci wewnetrznej. Ruter ma 2 interfejsy ppp0 i eth0, to powyzsze to dodatkowe zabezpieczenie przed spoofingiem. Czyli wszystkie polaczenia nadchodzace na ppp0 z adresem ip loopback lub 192.168.1.0/24 sa odrzucane. > > `$path -I forward -s 127.0.0.1 -j ACCEPT`; > Też nie bardzo, raczej nie forwarduje sie przez loop'a OK > > `$path -I forward -s 192.168.1.0/24 -p ICMP -d 0.0.0.0/0 -j MASQ`; > `$path -I input -s 0.0.0.0/0 -p ICMP -j ACCEPT`; > jeśli potrzebujesz całego ICMP to ok, jesli nie, to imho wystarczy > echo-request Caly. Jak go nie ma to nie dziala czesc uslug. > > co do dostepu do dns to musisz udostepnic na forward i output > port 53 zarowno na udp jak i na tcp udostepnienie calego udp dla > nameserwera jest niezbyt rozsądne, tym bardziej nie widze sensu robienia > tego dla łańcucha input. OK > > Dalej, jeśli nadal upierasz się do używania ipchains, imo wszystko jest > już ok. :) Po rozmowie wczoraj z Rafalem Członką, a zwlaszcza dlatego ze znalazlem u niego dokument ipchains->iptables chyba skompiluje jajko 2.4.x :) > > pzdr > yanek > PS - nie widzę tam nigdzie logowania połączeń zablokowanych... To jest skrypt WielkiFirewall 1.0 rc1 ;-). W tej chwili pracuje jeszcze na wersji pierwszej, gdzie wszystko wpisywane bylo recznie, wersja druga miaal i w zalozeniu ulatwic zycie. I w wersji pierwszej jest logowanie. Ale nie wiem czy w miedzyczasie nie przejde na iptables. W kazdym razie dziekuje Ci za odpowiedz i zmotywowanie do przejscia na 2.4.x :). Pozdrawiam Michal -- Michał <[EMAIL PROTECTED]>
