Forum » Programska oprema » Požarni zidovi v linuxu
Požarni zidovi v linuxu
Brane2 ::
V "networking options" izberes "IP filtering (replaces IP chains)", nato pa se ti pojavi nekje v spodnji tretjini strani podmenu IPtables option oz. IP filtering options. Skocis not in izberes glavne stvari...
Katere so glavne ? Man iptables ti bo povedal, pa najbrz se kaksen "guide" oz. howto...
Pricakuj kar solidno seanso ucenja, vendar bos zatem lahko reku, da je za tabo enkratna izkusnja...
Katere so glavne ? Man iptables ti bo povedal, pa najbrz se kaksen "guide" oz. howto...
Pricakuj kar solidno seanso ucenja, vendar bos zatem lahko reku, da je za tabo enkratna izkusnja...
Brane2 ::
Pojma nimam, ga ne uporabljam. Najbrz dobro. Jaz mam v tej mashini tri mrezne. Ena gre na ADSL, preostali dve pa na dve podmrezi. Pravila filtriranja so pri meni zelo odvisna od smeri iz katere je dani paket priletel, poleg tega pa niso staticna-prilagajajo se prometu.
Tako recimo firewall spremlja FTP povezave in bo dovolil samo FTP linke, ki so bili zaceti na pobudo masin znotraj firewalla itd. Tko da sem se kar pomatral da sem tole skup spravil. Ziher sem, da bi lahko se kaj bolj zategnil, a za to enostavno ni blo kaj dosti casa....
Tako recimo firewall spremlja FTP povezave in bo dovolil samo FTP linke, ki so bili zaceti na pobudo masin znotraj firewalla itd. Tko da sem se kar pomatral da sem tole skup spravil. Ziher sem, da bi lahko se kaj bolj zategnil, a za to enostavno ni blo kaj dosti casa....
Zgodovina sprememb…
- spremenil: Brane2 ()
Brane2 ::
iptables ti je v Linuxu osnova vsega. IMHO so vsi "firewalli" samo graficna osnova, ki upravlja iptables.
Ne verjamem, da obstaja alternativa, ki ne bi delala skozi iptables.
O.K., na starejsih kernelih je temu sluzil ipchains a to je v osnovi ista stvar....
Ne verjamem, da obstaja alternativa, ki ne bi delala skozi iptables.
O.K., na starejsih kernelih je temu sluzil ipchains a to je v osnovi ista stvar....
Jebiveter ::
Brane2: Se strinjam, da so FWji le GUI za ipchains. Vendar iscemo (Sahel & me) ravno nekaj takega. Predvsem, ker smo v linuxu newbiji in nam bash se ni v krvi.
Zatorej, poznas kaksen dober GUI za sestavljat ipchains pravila?
Zatorej, poznas kaksen dober GUI za sestavljat ipchains pravila?
Certainty of death. Small chance of success. What are we waiting for?
Sahel ::
mehehe...ja no recimo...mene to zanima kr me je šef vprašal če vem...pa mu nism znal natančno odgovorit...tko da sm mu reku da pač iptables...ja je reku da ve ampak mogoče so še drugi in sm pršu vprašat :) kako je s tem
borchi ::
za začetek si mal poglej: http://www.oreilly.com/catalog/linag2/book/index.html
drugač je študiranje iptables neki takega kot branje vojna&mir!
js osebno si pomagam kr z http://firewall-jay.sourceforge.net/faq.php
kr če se lotiš pisanja pravil sam, moreš vedet točno kaj počneš. definitivno nočeš mislit, da maš dober firewall, če ga nimamš. v tem primeru je pravilo "slab firewall je slabši kot noben firewall" še kako rasnično.
drugač je študiranje iptables neki takega kot branje vojna&mir!
js osebno si pomagam kr z http://firewall-jay.sourceforge.net/faq.php
kr če se lotiš pisanja pravil sam, moreš vedet točno kaj počneš. definitivno nočeš mislit, da maš dober firewall, če ga nimamš. v tem primeru je pravilo "slab firewall je slabši kot noben firewall" še kako rasnično.
l'jga
Jebiveter ::
@borchi: najlepsa hvala za linke! most helpfull! tnx
Certainty of death. Small chance of success. What are we waiting for?
Brane2 ::
Nc konkretnega, se mi pa zdi, da imata tako Kde kot Gnome nekaj na to temo...
Sem na Gentooju zalaufal "emerge -S firewall", pa mi je nasel:
net-libs/libfwbuilder-1.0.0
Homepage: http://www.fwbuilder.org/
Description: A firewall GUI (library functions)
net-firewall/knetfilter-3.1.1
Homepage: http://expansa.sns.it:8080/knetfilter/
Description: Manage Iptables firewalls with this KDE app
net-firewall/guarddog-2.0.0
Homepage: http://www.simonzone.com/software/guard...
Description: Firewall configuration utility for KDE 3
net-firewall/fwbuilder-1.0.10
Homepage: http://www.fwbuilder.org/
Description: A firewall GUI
net-firewall/firestarter-0.9.2
Homepage: http://firestarter.sf.net
Description: GUI for iptables firewall setup and monitor.
net-firewall/dynfw-1.0.1
Homepage: http://gentoo.org/projects/dynfw
Description: Dynamic Firewall Tools for netfilter-based firewalls
net-firewall/kmyfirewall
Homepage: http://kmyfirewall.sourceforge.net/
Description: Graphical KDE iptables configuration tool
Bo dost za zacetek ?
Sem na Gentooju zalaufal "emerge -S firewall", pa mi je nasel:
net-libs/libfwbuilder-1.0.0
Homepage: http://www.fwbuilder.org/
Description: A firewall GUI (library functions)
net-firewall/knetfilter-3.1.1
Homepage: http://expansa.sns.it:8080/knetfilter/
Description: Manage Iptables firewalls with this KDE app
net-firewall/guarddog-2.0.0
Homepage: http://www.simonzone.com/software/guard...
Description: Firewall configuration utility for KDE 3
net-firewall/fwbuilder-1.0.10
Homepage: http://www.fwbuilder.org/
Description: A firewall GUI
net-firewall/firestarter-0.9.2
Homepage: http://firestarter.sf.net
Description: GUI for iptables firewall setup and monitor.
net-firewall/dynfw-1.0.1
Homepage: http://gentoo.org/projects/dynfw
Description: Dynamic Firewall Tools for netfilter-based firewalls
net-firewall/kmyfirewall
Homepage: http://kmyfirewall.sourceforge.net/
Description: Graphical KDE iptables configuration tool
Bo dost za zacetek ?
Jebiveter ::
tnx za imena GUIjev!
problem je, da imam tam instaliran MDK8 (ali 9, sej ne vem) in je zlo oskubljen. nekako me ima, da bi stvar preinstaliral oz. instaliral en drug distro...
we'll see...
problem je, da imam tam instaliran MDK8 (ali 9, sej ne vem) in je zlo oskubljen. nekako me ima, da bi stvar preinstaliral oz. instaliral en drug distro...
we'll see...
Certainty of death. Small chance of success. What are we waiting for?
Blisk ::
Zanima me naprimer, zakaj ko nastavim, pri root security dostop naprimer ftp, pa http, pa firewal security na medium, potem ko ponovno poženem root security, spet pokaže nastavitve take kot so ble pred mojo spremembo.
Kot da se tega ne da nastavit, pa sem noter prijalvjen kot root
Kot da se tega ne da nastavit, pa sem noter prijalvjen kot root
Brane2 ::
To je odvisno od programcka, ki upravlja z iptablesi.
Iptables je ime d.o.o. ja, ki obstaja v Matrici in ki tam zaposluje 9 NKV delavcev in nekaj malih sefov.
Mujo, Haso, Fata itd. sedijo za svojim salterjem in premetavajo/sortirajo postne pakete (oziroma tako so videt In The Matrix) v skladu z navodili, ki jih imajo na pildku papirja. Vsak paket, ki pride v IPTABLES Expedit d.o.o., gre najprej Mujotu na sprejemno sluzbo.
Ta lahko paket glede na naslov posiljatelja, naslovnika, tezo, domnevno vsebino, stanjem (poskodovanostjo ovojnice) in drugimi parametri, ki so zapisani v statutu firme (skompajlani moduli v kernelu) bodisi
-zavrze (Ce je naslovnik recimo v zaporu, ne obstaja itd)
- preusmeri (naslovnik preseljen, ima postni predal) To stori s spremembo dela ali celega naslova naslovnika.
-spusti v nadaljno obdelavo, kar pomeni, da ga kurir odnese na Hasotovo mizo. Haso je pa specialec za carinjenje. No, glede na to, da je NKV delavec, ima par stempljev ki so potrebni za njegov delcek postopka carinske kontrole.
Haso ima pooblastila, da paket zadrzi/zavrze, glede na kompleksnejsa pravila, ki lahko upostevajo tudi prejsnje pakete med naslovnikom in posiljateljem, ki sta navedena na konkretnem paketu. Je mogoce naslovnik domacin, ki je obvestil carinarnico (v sklopu IPTABLES d.o.o.), da naroca dele za avto iz Nemcije, ki sedaj prihajajo v locenih,. zaporednih paketih ? Je v paketu antrax ? Haso ni kemik in mogoce je beli prah, ki curlja ven, samo prehrambena sol, pa saj ni placan za to. Ce zgleda nevarno-potem najbrz je nevarno-shut u kanto...
Ce paket pride skozi Hasotov rajon, pade na Fatimino mizo. Fatima Odloca o tem, ali je paket za lokalno stranko in kako ga bo prevzela. Lahko stranka pride sama ponj (userland interface), lahko ga da naprej postarski sluzbi v stavbi, ce je naslovnik blizu ali pa ga oznaci za predajo dispecerjem s konkretno oznako poste, ki se bo naprej ukvarjala z njim...
Itd...itd... Vse do Izklopa Sistema, ki bo baje cez dva meseca ( Matrix 3)
Torej ta tvoj "firewall security medium/high/low/whatever) ne obstaja. ne za te delavcke, ki hocejo met svoj pildek s pravili, po katerih se bo delalo.
To, kar ti hoces, je pravilo sluzbe z napotki za delo poste, ki ga ima sef Postne Sluzbe Slovenije. Ta v skladu z zahtevami trga in vlade ukaze svoji strokovni sluzbi, naj na podlagi napotkov iz Uradnega Lista sestavi pildke za navadne delavcke...
Torej to, kar bi ti rad nastavil, je dalec nad tem, kar iptables hoce. Manjka ti sef poste in strokovna sluzba...
Iptables je ime d.o.o. ja, ki obstaja v Matrici in ki tam zaposluje 9 NKV delavcev in nekaj malih sefov.
Mujo, Haso, Fata itd. sedijo za svojim salterjem in premetavajo/sortirajo postne pakete (oziroma tako so videt In The Matrix) v skladu z navodili, ki jih imajo na pildku papirja. Vsak paket, ki pride v IPTABLES Expedit d.o.o., gre najprej Mujotu na sprejemno sluzbo.
Ta lahko paket glede na naslov posiljatelja, naslovnika, tezo, domnevno vsebino, stanjem (poskodovanostjo ovojnice) in drugimi parametri, ki so zapisani v statutu firme (skompajlani moduli v kernelu) bodisi
-zavrze (Ce je naslovnik recimo v zaporu, ne obstaja itd)
- preusmeri (naslovnik preseljen, ima postni predal) To stori s spremembo dela ali celega naslova naslovnika.
-spusti v nadaljno obdelavo, kar pomeni, da ga kurir odnese na Hasotovo mizo. Haso je pa specialec za carinjenje. No, glede na to, da je NKV delavec, ima par stempljev ki so potrebni za njegov delcek postopka carinske kontrole.
Haso ima pooblastila, da paket zadrzi/zavrze, glede na kompleksnejsa pravila, ki lahko upostevajo tudi prejsnje pakete med naslovnikom in posiljateljem, ki sta navedena na konkretnem paketu. Je mogoce naslovnik domacin, ki je obvestil carinarnico (v sklopu IPTABLES d.o.o.), da naroca dele za avto iz Nemcije, ki sedaj prihajajo v locenih,. zaporednih paketih ? Je v paketu antrax ? Haso ni kemik in mogoce je beli prah, ki curlja ven, samo prehrambena sol, pa saj ni placan za to. Ce zgleda nevarno-potem najbrz je nevarno-shut u kanto...
Ce paket pride skozi Hasotov rajon, pade na Fatimino mizo. Fatima Odloca o tem, ali je paket za lokalno stranko in kako ga bo prevzela. Lahko stranka pride sama ponj (userland interface), lahko ga da naprej postarski sluzbi v stavbi, ce je naslovnik blizu ali pa ga oznaci za predajo dispecerjem s konkretno oznako poste, ki se bo naprej ukvarjala z njim...
Itd...itd... Vse do Izklopa Sistema, ki bo baje cez dva meseca ( Matrix 3)
Torej ta tvoj "firewall security medium/high/low/whatever) ne obstaja. ne za te delavcke, ki hocejo met svoj pildek s pravili, po katerih se bo delalo.
To, kar ti hoces, je pravilo sluzbe z napotki za delo poste, ki ga ima sef Postne Sluzbe Slovenije. Ta v skladu z zahtevami trga in vlade ukaze svoji strokovni sluzbi, naj na podlagi napotkov iz Uradnega Lista sestavi pildke za navadne delavcke...
Torej to, kar bi ti rad nastavil, je dalec nad tem, kar iptables hoce. Manjka ti sef poste in strokovna sluzba...
Zgodovina sprememb…
- spremenil: Brane2 ()
Jebiveter ::
@Brane2: L0L!!!
Kje dobis taksne?!
Zanimiv point-of-view!
A mas se kaksno taksno na zalogi? Recimo, ... kaj pa vem...
Kje dobis taksne?!
Zanimiv point-of-view!
A mas se kaksno taksno na zalogi? Recimo, ... kaj pa vem...
Certainty of death. Small chance of success. What are we waiting for?
Brane2 ::
Mah, tale navodila HowToji itd mi gredo ze malo na zivce. Ta folk je nepismen- katastrofa. Saj se ne sekiram za pike in vejice ampak tu ljudje NE ZNAJO OPISOVAT STVARI !
Ravno sem sredi nekega Howtoja za Sambo 2.2, ki ima 386 strani! Razkenjali so se na kilometer o vsaki drobnariji, nikjer pa ne govorijo o celoti.
Mislim, od vseh teh dreves sploh ne vidim, da sem v gozdu .
Tolko enga nakladanja, pa se zmeraj ne obvladam osnovnih pojmov.
Enako je z IPtables. Stvar je, ne bom reku enostavna, ampak sloni na enostavnih principih. Moral sem prebrati brdo nerazumljivih stvari, da sem nekje na zadnjem ovinku weba nasel koncno en filetek, ki me je razsvetlil in ki je imel nekaj zivljenjskih primerov, ki bi se jih je celo dalo dokaj enostavno predelati v zeljenega.
Od takrat razmisljam, da bi napisal en tak clanek, da bi folku, ki si se ni polomil zob z branjem tiste literature, dal neko uvodno sliko s paralelo iz znanega sveta. Bistvo zgodbe je, da lahko paralelo s posto lahko vleces presenetljivo dalec- tole je bil samo drobec vsega.
Tako bi popoln laik dobil neko osnovno abstrakcijo dogajanja v IPtables, ki bi jo lahko pogoltnil tudi ce ne ve kaj je kernel, ethernet in celo linux in bi se lahko sam odlocil, ali bo po prebrani "Matrix razlagi" se spustil v branje dokumentov, ki stvari obdelujejo na nizjem nivoju in mu daje perspektivo, kako naj razume te dokumente.
Ravno sem sredi nekega Howtoja za Sambo 2.2, ki ima 386 strani! Razkenjali so se na kilometer o vsaki drobnariji, nikjer pa ne govorijo o celoti.
Mislim, od vseh teh dreves sploh ne vidim, da sem v gozdu .
Tolko enga nakladanja, pa se zmeraj ne obvladam osnovnih pojmov.
Enako je z IPtables. Stvar je, ne bom reku enostavna, ampak sloni na enostavnih principih. Moral sem prebrati brdo nerazumljivih stvari, da sem nekje na zadnjem ovinku weba nasel koncno en filetek, ki me je razsvetlil in ki je imel nekaj zivljenjskih primerov, ki bi se jih je celo dalo dokaj enostavno predelati v zeljenega.
Od takrat razmisljam, da bi napisal en tak clanek, da bi folku, ki si se ni polomil zob z branjem tiste literature, dal neko uvodno sliko s paralelo iz znanega sveta. Bistvo zgodbe je, da lahko paralelo s posto lahko vleces presenetljivo dalec- tole je bil samo drobec vsega.
Tako bi popoln laik dobil neko osnovno abstrakcijo dogajanja v IPtables, ki bi jo lahko pogoltnil tudi ce ne ve kaj je kernel, ethernet in celo linux in bi se lahko sam odlocil, ali bo po prebrani "Matrix razlagi" se spustil v branje dokumentov, ki stvari obdelujejo na nizjem nivoju in mu daje perspektivo, kako naj razume te dokumente.
Zgodovina sprememb…
- spremenil: Brane2 ()
mile ::
@brane2
bi delil z nami ta " na zadnjem ovinku weba " najdeni link?
Tudi sam sem izgubljal živce s temi črevi in me je vse minil.
bi delil z nami ta " na zadnjem ovinku weba " najdeni link?
Tudi sam sem izgubljal živce s temi črevi in me je vse minil.
Brane2 ::
Mislim, da mi je to ostalo v IEjevih "Bliznjicah", ki jih pa se nisem importal v KDE/Konqueror.
Ko bom in ce najdem link, posljem URL...
Ko bom in ce najdem link, posljem URL...
ToniT ::
Bravo Brane.
Tako dobrega opisa že dolgo nisem bral. Glede Sambe pa ti želim veliko uspeha. Jaz sem se prebijal skozi Samba Black Book kar nekaj časa in imam še zmeraj probleme pri določenih nastavitvah.
Tako dobrega opisa že dolgo nisem bral. Glede Sambe pa ti želim veliko uspeha. Jaz sem se prebijal skozi Samba Black Book kar nekaj časa in imam še zmeraj probleme pri določenih nastavitvah.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | *nix routerji-firewalli, vaše izkušnje z njimiOddelek: Informacijska varnost | 1603 (1255) | ethelred |
» | IPTablesOddelek: Operacijski sistemi | 1974 (1603) | Brane2 |
» | Linux - Nasveti (Aplikacije. Zascita,..) Problemi (Aplikacije se ne zaganjajo!)Oddelek: Operacijski sistemi | 1537 (1301) | HriBB |
» | IPTABLES in TCP flags problemOddelek: Operacijski sistemi | 1465 (1294) | Bojan xxxx |
» | FXP problemiOddelek: Omrežja in internet | 1248 (1127) | darh |