Tomasian Alina wrote:
am zis nu mai merge pt ca....el toate conexiunile pe
care le primeste in afara de ssh le trimite pe alt ip:
192.168.0.2, iar acum nici asta nu mai face...cel
putin cu portul 80 de ex. deci ma gandesc ca e o
chestie generala care nu merge, nu neaparat ftp-ul...
ai mai jos cum arata fw ...cat o fi de bun si nu am
reusit sa-l vac varza in totalitate.... :)
[LFS system init script deleted]
ai uitat "echo 1 >/proc/sys/net/ipv4/ip_forward"
- ? pe 192.168.0.2 am un vsftpd care ruleaza
ok...local si din lan ma pot conecta pe el, transfer
de fis, etc.. nu e suficient ca fw cand vede conexiune
pe port 21 sa il trimita pe acelasi port dar la alta
sursa??
- unde gresesc?? ar trebui sa fie un drop inainte si
sa nu permit conexiuni din afara pe 80, 21........ nu?
<rant>
in mai multe locuri...
1. pentru un firewall strict, cum se vrea al matale, se pune policy DROP
pe INPUT si FORWARD, dupa care se da voie la ce e necesar
2. de ceva vreme s-a inventat iptables-save/iptables-restore si exista
cam in toate distributiile normale /etc/init.d/iptables
<start|save|stop|restart> (iar pe unele exista si unelte de-ale
distributiei cum e susefirewall), iar in lipsa de asa ceva exista
jucarii gen bastille sau shorewall care simplifica treaba asta de produs
faiaruale
3. scriptul de fw prezentat e o varza care amesteca initializarea
interfetelor de retea cu rutarea cu firewall cu pornire de servicii de
sistem cu incarcari de module cu ... you get the point.
4. chestia cu "echo 1 blah blah" de mai sus e o gluma, de asemenea s-a
inventat sysctl de ceva timp
</rant>
--
With sufficient thrust, pigs fly just fine.
-- RFC 1925
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
