» »

Debian blokira IP...

Debian blokira IP...

rok86 ::

Ok... Zadeva je takšna:
prjatlu sm neki nalagu na ftp in on je, predn je bil prenos končan, svoj workstation odklopu z neta in net prklopu na server s sveže naloženim debian linuxom... moj flashfxp se je med tem časom še kar naprej poskulšal konektat na njegov ip in s tem povzročil da zdej njegov server moj ip ignorira. Mogoče kdo ve kje se da to odstranit?

Preverla sva že u iptables vendar tam ni blo nč...

Gandalfar ::

ker ftp streznik pa laufa?

rok86 ::

ftp strežnik nima nč veze kle.. pa ta je itak bil na windowsu...
problem je da frendovga ipja jz niti pingat ne morm...
to se je že enkrat nardil pa pol k je formatiru server pa nanov naložu je blo ok...

Zgodovina sprememb…

  • spremenil: rok86 ()

Gandalfar ::

malo se razglej po /var/log/..

rok86 ::

žal ni v /var/log/ nč uporabnga za ta problem :(

Matri[X] ::

Poglej firewall nastavitve in /etc/hosts.deny

rok86 ::

Matri[X], sem že pregledu firewall in /etc/hosts.deny pa ni blo nč tam...

Gandalfar ::

ker firewall pa uporabljas? Da si nisi celga pinga ugasnu..

rok86 ::

iptables... pa druga se da use lepo pingat sam jz ne morm frendovga ipja pa on isto mojga ne...

hruske ::

ja ka pa traceroute prav?
al pa hping2?

ghaefb ::

Ja če uporabljaš iptables preglej 'iptables -L'
Al pa jih počisti 'iptables -F'

rok86 ::

ghaefb, v iptables ni nobenga takega vnosa k bi bil vzrok temu... iptables -F ne pomaga!

traceroute se ustav pri:

7 18 ms 19 ms 16 ms BSN-109.siol.net [213.250.19.179]
8 * * * Iztekla se je časovna omejitev za zahtevo.
9 * * * Iztekla se je časovna omejitev za zahtevo.

Gandalfar ::

dej pokazi tvojo iptables skripto...

rok86 ::

frendov iptables:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT tcp -- anywhere anywhere tcp dpt:5424

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6881
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6881
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:6891
ACCEPT tcp -- 192.168.0.2 anywhere tcp spt:6891

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4662
ACCEPT tcp -- anywhere anywhere tcp spt:5424

moj :
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:4660
ACCEPT udp -- anywhere anywhere udp dpt:rfa
ACCEPT tcp -- anywhere anywhere tcp dpt:5577
ACCEPT tcp -- anywhere anywhere tcp dpt:9990

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:4660
ACCEPT udp -- anywhere anywhere udp spt:rfa
ACCEPT tcp -- anywhere anywhere tcp spt:5577
ACCEPT tcp -- anywhere anywhere tcp spt:9990

addani so pač porti za emule pa dcc na drugih compih... (mogoč mam čudn addan use skup ampak drugač dela pa tko k more)

Zgodovina sprememb…

  • spremenil: rok86 ()

Skrat ::

rok86: ce je to vse, kar mas v iptejblih, potem ti ti iptejbli prav nic ne pomagajo, ker spuscata oba skozi ves promet.>:D

Pa napisani so tudi cudno, ja... kot npr. ACCEPT all -- anywhere anywhere pred kompletnim FWD chainom :\
Free software is a matter of liberty, not price.

rok86 ::

Skrat, vem da je cudno napisan ampak ne bom spreminjal ker moja notranja mreža in ostalo dela čist ok...

iptables -t nat -L pokaže mal drugač use skup ->
npr.
target prot opt source destination
MASQUERADE all -- anywhere anywhere
SNAT tcp -- 10.0.1.2 anywhere tcp spt:4660 to:moj.zunanji.ip:4660
...
vendar tud kle ne vidim problema in mi ni jasn kaj bi še lahk blo narobe...

Zgodovina sprememb…

  • spremenil: rok86 ()

Skrat ::

Problem je v tem, da ves promet spuscas skozi. Firewall dela priblizno tako -- ko dobi zahtevek, gre skozi iptejble in pogleda, ce obstaja pravilo za ta zahtevek. In zdej stos: ce pravila ni, potem spusti zahtevek skozi. Torej v tvojem primeru spustis skozi vse, kar pride skozi tvoja pravila + vse ostalo!!! Nikjer namrec prometa ne blokiras nedovoljenega prometa >:D

Logika firewalla je taksna, da spusti skozi vse, kar ni tocno doloceno in ne obratno (da bi blokiral vse, kar ni tocno doloceno). En pincip bi bil torej, da za vsakim nizom ACCEPTov pride DROP ali REJECT za vse, kar torej ni eksplicitno dovoljeno.
Free software is a matter of liberty, not price.

hruske ::

Logika firewalla je taksna, da spusti skozi vse, kar ni tocno doloceno in ne obratno (da bi blokiral vse, kar ni tocno doloceno).


NE, fora firewalla je ravno v tem, da vse kar eksplicitno ne dovolis, zavrne.

rok86 ::

torej problem je nekje drugje in ne v fwju...
sam kje drugje?

Skrat ::

V primeru, kot ga ima rok86 zgoraj ne :\
Free software is a matter of liberty, not price.

hruske ::

Glede na to, da se ti je to ze dvakrat zgodilo, imam pomisleke, da je to v uporabniku...:8)

hruske ::

Kaj pa
# cat /var/log/messages

pravi?

Zgodovina sprememb…

  • spremenilo: hruske ()

rok86 ::

ponavlja se npr:
Apr 13 16:30:53 (hostname) -- MARK --
skratka nč uporabnga...

moj_nick ::

Če te preveč muči iptables, si omisli shorewall.
110111001001010001010000

BigWhale ::

Logika firewalla je ta, da dela to kar je v pravilih napisano in ne to kar je admin hotel...

... vedno je tako... ;>

Sta pa vedno dva izhodisca. Deny All, Except ali pa Allow All, Except

moj_nick ::

Čeprav je glede na število uporabljanih portov boljši prvi.
110111001001010001010000

BigWhale ::

Boljsi je tudi, ce hoces uporabnike omejit ;>

Jest sem se vcasih tud tko sel, da sem blokiral SYN pakete navznoter... :P


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

iptables restart

Oddelek: Omrežja in internet
71308 (1131) BRBR
»

block ip, linux, centos

Oddelek: Informacijska varnost
8645 (567) BRBR
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
251766 (1588) SasoS
»

iptables problem z SSH

Oddelek: Omrežja in internet
121611 (1465) sverde21
»

iptables + forward

Oddelek: Operacijski sistemi
331888 (1463) tx-z

Več podobnih tem