Forum » Operacijski sistemi » Debian blokira IP...
Debian blokira IP...
rok86 ::
Ok... Zadeva je takšna:
prjatlu sm neki nalagu na ftp in on je, predn je bil prenos končan, svoj workstation odklopu z neta in net prklopu na server s sveže naloženim debian linuxom... moj flashfxp se je med tem časom še kar naprej poskulšal konektat na njegov ip in s tem povzročil da zdej njegov server moj ip ignorira. Mogoče kdo ve kje se da to odstranit?
Preverla sva že u iptables vendar tam ni blo nč...
prjatlu sm neki nalagu na ftp in on je, predn je bil prenos končan, svoj workstation odklopu z neta in net prklopu na server s sveže naloženim debian linuxom... moj flashfxp se je med tem časom še kar naprej poskulšal konektat na njegov ip in s tem povzročil da zdej njegov server moj ip ignorira. Mogoče kdo ve kje se da to odstranit?
Preverla sva že u iptables vendar tam ni blo nč...
rok86 ::
ftp strežnik nima nč veze kle.. pa ta je itak bil na windowsu...
problem je da frendovga ipja jz niti pingat ne morm...
to se je že enkrat nardil pa pol k je formatiru server pa nanov naložu je blo ok...
problem je da frendovga ipja jz niti pingat ne morm...
to se je že enkrat nardil pa pol k je formatiru server pa nanov naložu je blo ok...
Zgodovina sprememb…
- spremenil: rok86 ()
rok86 ::
iptables... pa druga se da use lepo pingat sam jz ne morm frendovga ipja pa on isto mojga ne...
rok86 ::
ghaefb, v iptables ni nobenga takega vnosa k bi bil vzrok temu... iptables -F ne pomaga!
traceroute se ustav pri:
7 18 ms 19 ms 16 ms BSN-109.siol.net [213.250.19.179]
8 * * * Iztekla se je časovna omejitev za zahtevo.
9 * * * Iztekla se je časovna omejitev za zahtevo.
traceroute se ustav pri:
7 18 ms 19 ms 16 ms BSN-109.siol.net [213.250.19.179]
8 * * * Iztekla se je časovna omejitev za zahtevo.
9 * * * Iztekla se je časovna omejitev za zahtevo.
rok86 ::
frendov iptables:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT tcp -- anywhere anywhere tcp dpt:5424
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6881
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6881
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6891
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6891
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4662
ACCEPT tcp -- anywhere anywhere tcp spt:5424
moj :
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4660
ACCEPT udp -- anywhere anywhere udp dpt:rfa
ACCEPT tcp -- anywhere anywhere tcp dpt:5577
ACCEPT tcp -- anywhere anywhere tcp dpt:9990
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4660
ACCEPT udp -- anywhere anywhere udp spt:rfa
ACCEPT tcp -- anywhere anywhere tcp spt:5577
ACCEPT tcp -- anywhere anywhere tcp spt:9990
addani so pač porti za emule pa dcc na drugih compih... (mogoč mam čudn addan use skup ampak drugač dela pa tko k more)
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT tcp -- anywhere anywhere tcp dpt:5424
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6881
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6881
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6891
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6891
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4662
ACCEPT tcp -- anywhere anywhere tcp spt:5424
moj :
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4660
ACCEPT udp -- anywhere anywhere udp dpt:rfa
ACCEPT tcp -- anywhere anywhere tcp dpt:5577
ACCEPT tcp -- anywhere anywhere tcp dpt:9990
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4660
ACCEPT udp -- anywhere anywhere udp spt:rfa
ACCEPT tcp -- anywhere anywhere tcp spt:5577
ACCEPT tcp -- anywhere anywhere tcp spt:9990
addani so pač porti za emule pa dcc na drugih compih... (mogoč mam čudn addan use skup ampak drugač dela pa tko k more)
Zgodovina sprememb…
- spremenil: rok86 ()
Skrat ::
rok86: ce je to vse, kar mas v iptejblih, potem ti ti iptejbli prav nic ne pomagajo, ker spuscata oba skozi ves promet.
Pa napisani so tudi cudno, ja... kot npr. ACCEPT all -- anywhere anywhere pred kompletnim FWD chainom
Pa napisani so tudi cudno, ja... kot npr. ACCEPT all -- anywhere anywhere pred kompletnim FWD chainom
Free software is a matter of liberty, not price.
rok86 ::
Skrat, vem da je cudno napisan ampak ne bom spreminjal ker moja notranja mreža in ostalo dela čist ok...
iptables -t nat -L pokaže mal drugač use skup ->
npr.
target prot opt source destination
MASQUERADE all -- anywhere anywhere
SNAT tcp -- 10.0.1.2 anywhere tcp spt:4660 to:moj.zunanji.ip:4660
...
vendar tud kle ne vidim problema in mi ni jasn kaj bi še lahk blo narobe...
iptables -t nat -L pokaže mal drugač use skup ->
npr.
target prot opt source destination
MASQUERADE all -- anywhere anywhere
SNAT tcp -- 10.0.1.2 anywhere tcp spt:4660 to:moj.zunanji.ip:4660
...
vendar tud kle ne vidim problema in mi ni jasn kaj bi še lahk blo narobe...
Zgodovina sprememb…
- spremenil: rok86 ()
Skrat ::
Problem je v tem, da ves promet spuscas skozi. Firewall dela priblizno tako -- ko dobi zahtevek, gre skozi iptejble in pogleda, ce obstaja pravilo za ta zahtevek. In zdej stos: ce pravila ni, potem spusti zahtevek skozi. Torej v tvojem primeru spustis skozi vse, kar pride skozi tvoja pravila + vse ostalo!!! Nikjer namrec prometa ne blokiras nedovoljenega prometa
Logika firewalla je taksna, da spusti skozi vse, kar ni tocno doloceno in ne obratno (da bi blokiral vse, kar ni tocno doloceno). En pincip bi bil torej, da za vsakim nizom ACCEPTov pride DROP ali REJECT za vse, kar torej ni eksplicitno dovoljeno.
Logika firewalla je taksna, da spusti skozi vse, kar ni tocno doloceno in ne obratno (da bi blokiral vse, kar ni tocno doloceno). En pincip bi bil torej, da za vsakim nizom ACCEPTov pride DROP ali REJECT za vse, kar torej ni eksplicitno dovoljeno.
Free software is a matter of liberty, not price.
hruske ::
Logika firewalla je taksna, da spusti skozi vse, kar ni tocno doloceno in ne obratno (da bi blokiral vse, kar ni tocno doloceno).
NE, fora firewalla je ravno v tem, da vse kar eksplicitno ne dovolis, zavrne.
BigWhale ::
Logika firewalla je ta, da dela to kar je v pravilih napisano in ne to kar je admin hotel...
... vedno je tako... ;>
Sta pa vedno dva izhodisca. Deny All, Except ali pa Allow All, Except
... vedno je tako... ;>
Sta pa vedno dva izhodisca. Deny All, Except ali pa Allow All, Except
BigWhale ::
Boljsi je tudi, ce hoces uporabnike omejit ;>
Jest sem se vcasih tud tko sel, da sem blokiral SYN pakete navznoter... :P
Jest sem se vcasih tud tko sel, da sem blokiral SYN pakete navznoter... :P
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | iptables restartOddelek: Omrežja in internet | 1756 (1579) | BRBR |
| » | block ip, linux, centosOddelek: Informacijska varnost | 802 (724) | BRBR |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2253 (2075) | SasoS |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1913 (1767) | sverde21 |
| » | iptables + forwardOddelek: Operacijski sistemi | 2331 (1906) | tx-z |