Re: [Lug-bg] firewall project
На Monday 29 June 2009 22:07:10 derleader derleader написа: здравейте, обмислям в момента един хоби проект за управление на достъпа на големи мрежи, и също така firewall който да предпазва от DoS DDoS и други атаки. Ще се състои от Squid transparent proxy и openldap и от софтуер писан на PHP на отделен сървър който да подава тези IPта на firewall който могат да преминат а тези който не могат автоматично да ги дропи. Когато клиента не трябва да достъп до мрежага php програмата маха ip-то от списъка на firewalls с ip-та които могат да преминават. firewall изписва на потребителите че достъпа е заключен. Също може да се зададе firewall да филтрира имената на web sites които нямат право да минат. Не съм проверил но мисля че може да се направи squid да чете списък от ip-та които могат да се свързват на порт 22 - SSH. Ако ip-то не е в списъка squid ще дропи клиентите които искат да се свържат през порт 22. Цялата система дори ще е по- лесна за администрация. Не съм проверил но можеби има вариан да направя пощенски сървър който да ченте от главната php програма дали даден e-mail адрес на потребител може да се ползва. Тоест мога да заключа освен достъпа до сървъра и е-mail акаунта в пощенския съвър. Друга опция която бих искал да използвам е delay pools - тоест да лимитирам скоростта на всяко ip. Също така да се лимитира и общия брой конекции който ip може да прави. Като за начало мисля само да направя като функционалност да се проверява дали до дадено IP може да има достъп и да се брои трафита на всяко IP. Другите екстри ще се обсъждат по нататък. Виж picture 1 Проблема е че тези защитни стени трябва да издържат огромен брой конекции и огромен трафик. Иска ми се да мога да ги пригодя за реализация в големи datacenters със стотици съвъри и гигабити трафик. В случая firewall смятам да проектирам по следния начин. Виж picture 2 На съвъра има качен squid, OpenLDAP в който се съхраняват IPтата които имат достъп, скриптове за защита против DoS DDoS и може и да включа APF и CSF като тяхното използване e под въпрос тъйкато сървъра можеби ще се претоварва. Малко е спорно това дали да има OpenLDAP на сървъра тъйкато ще се натоварва, но ако няма достъп до главния сървър firewall ще си работи без пробелем. Squid ще се конфигурира да използва този скрипт http://www.stress-free.co.nz/transparent_squid_authentication_to_edirectory за да провери дали пакета на клиентите магат да преминат. В squid се настройва и така наченото ttl в случая представлява колко време достъпа на ip-то на важи. Като изтече ttl squid пак проверява в openldap дали има достъп. Все пак ако скоростта по спомени межди CPU и RAM е по смътни спомени е 6 GB/sec ако направя squid всеки път да проверява в главния сървър ще има голямо чакане от страна на клиента и мрежата може да се претовари. Главния сървър (php+mysql) периодично ще обновява списъка с ip-та на openLDAP. Дори обмислям дали да не напрява т.н RAMDISK - да инсталирам програма която да инсталира в рам паметта виртуален твърд диск и всичко да инсталирам там. Разбирасе в случая трябва рам паметта да е по-голяма. И трябва да се бриджнат двете мрежи, за да бъде невидима firewall (без ip адрес) Засега проблема който не съм решил е как да записвам трафика на всяко ip в списъка на openldap и дали проекта ще бъде ефикасен, каква производителност да очаквам на съвъра с двете програми на гъба си + скриптовете. Замислям се дали да не кача всичко на Sun Spark машина с opensolaris защото производителността ще е по-голяма. Естествено налага се да направя модофикации на OS - задаване на висок приоритет на изпълнение на squid, увеличаване на буфера на мрежовата карта. Разтоварване на ненужните модули на ядрота и сигурно ще се наложи да орежа ядрото. Да спра ненужните демони. Ще направя обединение на мрежови портове - bonding, на няколко мрежови карти за да вдигна на 2 гигабита възможния трафик който може да премине. Има security appliance на juniper и cisco струващи 20к+$ способни да обработват 10Gbit трафик, за съжаление не мога да разгледам как са устроени. Има тестови проведени с squid - двупроцесорна машина с 8 гигабайта рам може да издържи 3000 заявки с кешираща функция а на мен кеширане в случая не ми трябва. И още един проблем - с увечаването на хоповете ще се увеличи забавянето на отваряне на страници, негативен ефект който няма как да реша. Другото което мога да направя е да използавам по-ново прокси http://varnish.projects.linpro.no/ незнам каква е точно производиелността на предполагам че ще е по-добра Моля пишеште ми как мога да си пеша пролема с производителността. firewalla трябва да поема огромна натоварване. Това е засега което се сещам. Ако имате време и някакви по-добри идеиотнасно как мога да проектирам системата, моля пишете на адрес derlea...@abv.bg. Не пестeте критики! сто схеми http://img341.imageshack.us/i/picture1gpm.png/ http://img40.imageshack.us/i/picture2vxu.png/ Не мисля, че изборът
[Lug-bg] firewall project
здравейте, обмислям в момента един хоби проект за управление на достъпа на големи мрежи, и също така firewall който да предпазва от DoS DDoS и други атаки. Ще се състои от Squid transparent proxy и openldap и от софтуер писан на PHP на отделен сървър който да подава тези IPта на firewall който могат да преминат а тези който не могат автоматично да ги дропи. Когато клиента не трябва да достъп до мрежага php програмата маха ip-то от списъка на firewalls с ip-та които могат да преминават. firewall изписва на потребителите че достъпа е заключен. Също може да се зададе firewall да филтрира имената на web sites които нямат право да минат. Не съм проверил но мисля че може да се направи squid да чете списък от ip-та които могат да се свързват на порт 22 - SSH. Ако ip-то не е в списъка squid ще дропи клиентите които искат да се свържат през порт 22. Цялата система дори ще е по- лесна за администрация. Не съм проверил но можеби има вариан да направя пощенски сървър който да ченте от главната php програма дали даден e-mail адрес на потребител може да се ползва. Тоест мога да заключа освен достъпа до сървъра и е-mail акаунта в пощенския съвър. Друга опция която бих искал да използвам е delay pools - тоест да лимитирам скоростта на всяко ip. Също така да се лимитира и общия брой конекции който ip може да прави. Като за начало мисля само да направя като функционалност да се проверява дали до дадено IP може да има достъп и да се брои трафита на всяко IP. Другите екстри ще се обсъждат по нататък. Виж picture 1 Проблема е че тези защитни стени трябва да издържат огромен брой конекции и огромен трафик. Иска ми се да мога да ги пригодя за реализация в големи datacenters със стотици съвъри и гигабити трафик. В случая firewall смятам да проектирам по следния начин. Виж picture 2 На съвъра има качен squid, OpenLDAP в който се съхраняват IPтата които имат достъп, скриптове за защита против DoS DDoS и може и да включа APF и CSF като тяхното използване e под въпрос тъйкато сървъра можеби ще се претоварва. Малко е спорно това дали да има OpenLDAP на сървъра тъйкато ще се натоварва, но ако няма достъп до главния сървър firewall ще си работи без пробелем. Squid ще се конфигурира да използва този скрипт http://www.stress-free.co.nz/transparent_squid_authentication_to_edirectory за да провери дали пакета на клиентите магат да преминат. В squid се настройва и така наченото ttl в случая представлява колко време достъпа на ip-то на важи. Като изтече ttl squid пак проверява в openldap дали има достъп. Все пак ако скоростта по спомени межди CPU и RAM е по смътни спомени е 6 GB/sec ако направя squid всеки път да проверява в главния сървър ще има голямо чакане от страна на клиента и мрежата може да се претовари. Главния сървър (php+mysql) периодично ще обновява списъка с ip-та на openLDAP. Дори обмислям дали да не напрява т.н RAMDISK - да инсталирам програма която да инсталира в рам паметта виртуален твърд диск и всичко да инсталирам там. Разбирасе в случая трябва рам паметта да е по-голяма. И трябва да се бриджнат двете мрежи, за да бъде невидима firewall (без ip адрес) Засега проблема който не съм решил е как да записвам трафика на всяко ip в списъка на openldap и дали проекта ще бъде ефикасен, каква производителност да очаквам на съвъра с двете програми на гъба си + скриптовете. Замислям се дали да не кача всичко на Sun Spark машина с opensolaris защото производителността ще е по-голяма. Естествено налага се да направя модофикации на OS - задаване на висок приоритет на изпълнение на squid, увеличаване на буфера на мрежовата карта. Разтоварване на ненужните модули на ядрота и сигурно ще се наложи да орежа ядрото. Да спра ненужните демони. Ще направя обединение на мрежови портове - bonding, на няколко мрежови карти за да вдигна на 2 гигабита възможния трафик който може да премине. Има security appliance на juniper и cisco струващи 20к+$ способни да обработват 10Gbit трафик, за съжаление не мога да разгледам как са устроени. Има тестови проведени с squid - двупроцесорна машина с 8 гигабайта рам може да издържи 3000 заявки с кешираща функция а на мен кеширане в случая не ми трябва. И още един проблем - с увечаването на хоповете ще се увеличи забавянето на отваряне на страници, негативен ефект който няма как да реша. Другото което мога да направя е да използавам по-ново прокси http://varnish.projects.linpro.no/ незнам каква е точно производиелността на предполагам че ще е по-добра Моля пишеште ми как мога да си пеша пролема с производителността. firewalla трябва да поема огромна натоварване. Това е засега което се сещам. Ако имате време и някакви по-добри идеиотнасно как мога да проектирам системата, моля пишете на адрес derlea...@abv.bg. Не пестeте критики! сто схеми http://img341.imageshack.us/i/picture1gpm.png/ http://img40.imageshack.us/i/picture2vxu.png/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org
Re: [Lug-bg] firewall за натоварени сист еми
Само да добавя, conntrack модулите не ги вкарвай в ядрото защото ще изгубиш възможността да ресетваш този модул(които при по-големи натоварвания има навика да си изразходва всичките ресурси и съответно спираш да nat-иш). Мариян On Saturday 22 November 2008 00:17:33 foxy 202 wrote: Здравей Росен , ще изпробвам ipset интересно ми е как ще се държи. иначе QoS и Netfilter са в кърнела. Поздрави -- Емил На 21 ноември 2008 13:45, Rossen Antonov [EMAIL PROTECTED] написа: Здравей, И аз ти препоръчвам ipset. И ако не си - прекомпилирай си ядрото, като вкараш ползваните от теб Netfilter модули директно в него. Освен това можеш да направиш някаква оптимизация: - правилата, които сработват най-често ги качи нагоре. - добави потребителски вериги и разклони трафика, така че даден произволен пакет да бъде проверяван спрямо по-малко правила. А Hipac едва ли ще работи по бързо, даже се съмнявам. Поздрави! --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] firewall за натоварени системи
Здравейте , направо на въпроса имам линукс рутер които доста се товари когато му се пусне на 600-700 IPта и Linux Traffic Control . Без iptables нещата са супер. аз стартирам: iptables -A FORWARD -s XXX.XXX.XXX.XX/32 -m mac --mac-source 00:E0:4C:A3:6B:46 -i eth1 -j ACCEPT дайте предложение с какво може да се замести FW с iptables така че да не товари толкова... трябва да се може да се спре по IP , MAC и да работи DHCPто. Знам че това е класическа задача. аз попаднах на http://www.hipac.org/ но ме притеснява че от 2005та няма нови версии едното което ми хрумва да направя е да ги рутирам спрените IPта , или да го опиша в ARPто но малко съвет няма да ми дойде зле. Поздрави foxy202 ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] firewall за натоварени сист еми
за лимитирането по MAC можеш да използваш ebtables след това е хубаво да си групираш iptables правилата така че да ги намалиш. и последното нещо което можеш да добавиш за да намалиш правилата в iptables-а е да използваш ipsets. Това като цяло в правилната конфигурация съм го правил да пуска до 35 pps. На една машина с 2 1Gbit/s карти. Много е важно разделението и как точно правиш контрола. Мариян On Thursday 20 November 2008 23:03:28 foxy 202 wrote: Здравейте , направо на въпроса имам линукс рутер които доста се товари когато му се пусне на 600-700 IPта и Linux Traffic Control . Без iptables нещата са супер. аз стартирам: iptables -A FORWARD -s XXX.XXX.XXX.XX/32 -m mac --mac-source 00:E0:4C:A3:6B:46 -i eth1 -j ACCEPT дайте предложение с какво може да се замести FW с iptables така че да не товари толкова... трябва да се може да се спре по IP , MAC и да работи DHCPто. Знам че това е класическа задача. аз попаднах на http://www.hipac.org/ но ме притеснява че от 2005та няма нови версии едното което ми хрумва да направя е да ги рутирам спрените IPта , или да го опиша в ARPто но малко съвет няма да ми дойде зле. Поздрави foxy202 ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] firewall за натоварен и системи
Здравей, И аз ти препоръчвам ipset. И ако не си - прекомпилирай си ядрото, като вкараш ползваните от теб Netfilter модули директно в него. Освен това можеш да направиш някаква оптимизация: - правилата, които сработват най-често ги качи нагоре. - добави потребителски вериги и разклони трафика, така че даден произволен пакет да бъде проверяван спрямо по-малко правила. А Hipac едва ли ще работи по бързо, даже се съмнявам. Поздрави! --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] firewall за натоварени системи
Здравей Росен , ще изпробвам ipset интересно ми е как ще се държи. иначе QoS и Netfilter са в кърнела. Поздрави -- Емил На 21 ноември 2008 13:45, Rossen Antonov [EMAIL PROTECTED] написа: Здравей, И аз ти препоръчвам ipset. И ако не си - прекомпилирай си ядрото, като вкараш ползваните от теб Netfilter модули директно в него. Освен това можеш да направиш някаква оптимизация: - правилата, които сработват най-често ги качи нагоре. - добави потребителски вериги и разклони трафика, така че даден произволен пакет да бъде проверяван спрямо по-малко правила. А Hipac едва ли ще работи по бързо, даже се съмнявам. Поздрави! --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Firewall ISP problem
Здравейте, имам (т.е. не аз, а ISP-то ми) проблем. Имам следната схема: ПЦ-та - switch - eth1 - eth0 - Internet eth0 и 1 са съответно на една машина. Имам и следните iptables rules: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-inc 1 iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1 Та, всичко е ясно и работи - т.е. имам си достъп до интернет от нат-натите машини и т.н. но в петък ми се обади ядосан някакъв от isp-то ми, защото съм бил раздавал ип-та. Момчето не беше много наясно за какво говори, тъй като в началото се опитваше да ме убеди, че имам dhcp сървър, което естествено не е така. Не успя да ми обясни какво точно не му харесва, но като махнах горните рулове, каза че сега било ок. Някой има ли идея какъв точно би могъл да бъде проблема? cheers, face ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: lug-bg: firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 [EMAIL PROTECTED] wrote: | ,IP | 10.0.0.2 firewalleth1 10.0.0.1 IP eth0 |iptables -t nat -A PREROUTING -i eth0 -p tcp | --dport 80 -j DNAT --to-destination 10.0.0.2ok, | , | DNS-a IP A.B.C.D., | iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D | -j DNAT --to-destination 10.0.0.2 | | ? ,. web , DNAT . . , . , . : - -- 10.0.0.0/X ( X - 30).... (,10.0.0.1). ,DNAT , DNAT- ,eth0. view BIND. DNS . ,IP . DNS . view BIND, /usr/share/doc, web (view): http://www.lcpe.uni-sofia.bg/linuxdoc/BIND9/Bv9ARM.ch06.html#AEN3080 , . ~ ~ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFBS/vF+48lZPXaa+MRApZnAJwPFZgjoyUnFRaTJBDlae4s/x1JzQCgxNcx DjYvCgjVzXkufDbLGmbMZCo= =9n4q -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Saturday 18 September 2004 01:45 am, Dimitar Katerinski wrote: Vesselin Markov wrote: 1 - IP . ( ). 2 - . , . .. - :) , , 1 ;-) IP , ., , , .... DMZ- ... , , , DNS-, 1., , , . .. , SMTP , ip addr . , IPSEC -? :) . - (?) antracit1. :) . WAN. -:) - , , - -- http://koralsoft.dir.bg/threed/gay.php. . - -- :wq -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFBS/8MmCN1eSWR9owRAlv7AJ950eO97GRBBwpPKhGxADwLVZqRRgCfctzA FXskZOWpIOLaJy8JbZAS4NA= =ki6H -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
Dimitar Katerinski wrote: [EMAIL PROTECTED] wrote: ,IP 10.0.0.2 firewalleth1 10.0.0.1 IP eth0 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 ok, , DNS-a IP A.B.C.D. , iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D -j DNAT --to-destination 10.0.0.2 ? , . DNS- , , 10.0.0.0/Xquery, 10.0.0.2 ip addr , IP. tinydns, , BIND , . - , , IP- LAN-a. .iptables : iptables -t nat -A PREROUTING -i eth1 -s $LAN_NET -d $WWW_INET_IP -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 iptables -t nat -A POSTROUTING -o eth1 -d 10.0.0.2 -p tcp --dport 80 -j SNAT --to-source 10.0.0.1 , , ip addr 10.0.0.1 . . netfilter mail list,iptables-tutorial.frozentux.net. , . , . iptables,DNS. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
Vesselin Markov wrote: -- http://koralsoft.dir.bg/threed/gay.php. :) ... :) A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
Vesselin Kolev wrote: Vesselin Markov wrote: -- http://koralsoft.dir.bg/threed/gay.php. :) ... :) - :) A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
Dean Stoeff wrote: - :) :) 200 :) A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: firewall
,IP 10.0.0.2 firewalleth1 10.0.0.1 IP eth0 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 ok, , DNS-a IP A.B.C.D., iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D -j DNAT --to-destination 10.0.0.2 ? A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
[EMAIL PROTECTED] wrote: ,IP 10.0.0.2 firewalleth1 10.0.0.1 IP eth0 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 ok, , DNS-a IP A.B.C.D., iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D -j DNAT --to-destination 10.0.0.2 ? , . DNS- , , 10.0.0.0/Xquery,10.0.0.2 ip addr , IP. tinydns, , BIND ,. - , , IP- LAN-a. .iptables : iptables -t nat -A PREROUTING -i eth1 -s $LAN_NET -d $WWW_INET_IP -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 iptables -t nat -A POSTROUTING -o eth1 -d 10.0.0.2 -p tcp --dport 80 -j SNAT --to-source 10.0.0.1 , , ip addr 10.0.0.1 . . netfilter mail list, iptables-tutorial.frozentux.net. , . , -- The only thing necessary for the triumph of evil is for good men to do nothing. --Edmund Burke. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Saturday 18 September 2004 12:35 am, Dimitar Katerinski wrote: [EMAIL PROTECTED] wrote: , IP 10.0.0.2 firewalleth1 10.0.0.1 IP eth0 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 ok, , DNS-a IP A.B.C.D. , iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D -j DNAT --to-destination 10.0.0.2 ? , . DNS- , , 10.0.0.0/X query, 10.0.0.2 ip addr , IP. tinydns, , BIND , . - , , IP- LAN-a. . iptables : iptables -t nat -A PREROUTING -i eth1 -s $LAN_NET -d $WWW_INET_IP -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2 iptables -t nat -A POSTROUTING -o eth1 -d 10.0.0.2 -p tcp --dport 80 -j SNAT --to-source 10.0.0.1 , , ip addr 10.0.0.1 . . netfilter mail list, iptables-tutorial.frozentux.net. , . , 1 - IP . ( ). 2 - . , . .. - :) . - -- :wq -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFBS2RsmCN1eSWR9owRAvYyAKDXzQ4nIfowf0zGzDRSzXkrSeYx7wCg0+Vy H9iFwiZuQW0mzxeiJJr4r+w= =MlOI -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: firewall
Vesselin Markov wrote: 1 - IP . ( ). 2 -. ,. .. - :) , , 1 ;-) IP , ., , , ... . DMZ- ... , ,, DNS-, 1., , , . .. , SMTP , ip addr . , IPSEC -? :) . -- The only thing necessary for the triumph of evil is for good men to do nothing. --Edmund Burke. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: Firewall
Zdraveite, Da znaete dobar, barz tutorial za firewalls daje niakoi gotov script ako ima. Ne sam mnogo dobar v tova. Ne mi triabvat debeli knigi-az si imam. I tish ste iz4eta, no sega mi e speshno zastoto niakakvi neprekasnoto mi pravaiat vrazki na port 1024-1034 i 4000 i na remote port 6667. Niamam mnogo opit.po princip si imam firewall za vajnite portove pod 1023. Stiah da si iz4et i napisha scripta no mi e mnogo speshno. Mersi prredvaritelno. Peter An. Zyumbilev Web Developer Administrator email: [EMAIL PROTECTED] UIN: 108984925
Re: lug-bg: Firewall
grep 6667 /etc/services ircd6667/tcp# Internet Relay Chat ;) http://rcf.mvlan.net:8080/ http://www.shorewall.net/ BIVOL ONLINE [EMAIL PROTECTED] XX wrote: Zdraveite, Da znaete dobar, barz tutorial za firewalls daje niakoi gotov script ako ima. Ne sam mnogo dobar v tova. Ne mi triabvat debeli knigi-az si imam. I tish ste iz4eta, no sega mi e speshno zastoto niakakvi neprekasnoto mi pravaiat vrazki na port 1024-1034 i 4000 i na remote port 6667. Niamam mnogo opit.po princip si imam firewall za vajnite portove pod 1023. Stiah da si iz4et i napisha scripta no mi e mnogo speshno. Mersi prredvaritelno. Peter An. Zyumbilev Web Developer Administrator email: [EMAIL PROTECTED] UIN: 108984925 A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: Firewall
Eto ti edno nesto tochno za takiwa sluchai... kogato trqbwa da se reagira barzo a nqmash wreme da se gyrchish sys syntaxisa na iptables : http://www-106.ibm.com/developerworks/library/l-fw/index.html polzwai go dokato si chetesh iptables...hubawoto mu e che ne ti trqbwa da instalirash nikakwa dopalnitelna firewall-programa A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: firewall +samba
zdraveite ne otdavna bqh postnal tazi tema no nikoi ne mi otgovori. ne vqrvam tova da e neshto chak tolkova nepopravimo. znachi sambata mi previ problem zashtoto e na high firewall. tova se vijda ot nmb.log-a koito kazva che broadcast addresa e nedostypen. otivam v setup posle v firewall i markiram medium natiskam ok i nikakva promqna pak si stoi markirano high. s redhat 7.1 sym idei? Stoyan Zlatev P.S. zaintriguva me i sledniq problem koito nqma nishto obshto s raziskvanata gore tema. znachi si chekvam maila sredno prez 2 dena iredovno datite na nqkoi ot poluchenite mi pisma(obiknoveno ot luga) ne sa v chas. imam predvid che replaq ponqkoga ima chas koito e po rano ot original maila. ili izliza che nqkoi e drasnal replay na mail koito oshte ne sym prochel :))) === A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers) http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
