Fórum Ubuntu CZ/SK
Ostatní => Archiv => Téma založeno: Jere 01 Září 2006, 19:24:53
-
Pouzivam Firestarter, ale rad bych zkusil Firehol. Podle dokumentace jsem si zkusil napsat konfiguracni soubor, mohl by mi ho nekdo z vas zkontrolovat, pripadne dodat nejake pripominky, na co jsem zapomnel? V "sitovani" se moc nevyznam :(
Bezpecnost je pro me docela dulezita :)
Mam verejnou IP. Na routeru (192.168.1.1) je nastavene presmerovani vsech portu na desktop (192.168.1.2) - takze ten PC se tvari, jako by byl primo pripojeny na internet s verejnou IP. Dale mam na router napojene family-PC (192.168.1.3) a obcas notebook 192.168.1.4.
version 5
# The network of our eth0 LAN.
home_ips="192.168.1.0/24"
# INTERNET
interface eth0 internet src not "${home_ips}"
protection strong 10/sec 10
server ident reject with tcp-reset
server emule accept
#torrent, dc++, emule- p2p??
client all accept
# DOMACI SIT
interface eth0 lan src "${home_ips}"
server samba accept
server http accept
server https accept
server mysql accept
client all acceptV prvni casti INTERNET nevim, jak nastavit P2P site jako DC++ atd... V manualu je sice uvedena sluzba "P2P", ale neni tam uvedene, jakych portu se to tyka. Daji se treba nejak rucne psat rozsahy portu?
Predem diky za rady.
-
Bohuzel sluzba p2p neni v dokumentaci nija blize popsana. DC++ pouziva porty TCP1412 a UDP1412, je ve FireHolu definovany jako sluzba dcpp. Takze pro povoleni odchoziho spojeni do DCpp site pridejte toto:
client dcpp acceptPro povoleni pristupu do site eDonkey je ve FireHol definovana sluzba emule, ktera otevira komunikaci na TCP4661, TCP4662, TCP4665, TCP4672.
Vlastni sluzbu si muzete snadno nadefinovat, viz. http://firehol.sourceforge.net/adding.html
server_icq_ports="tcp/5190"
client_icq_ports="default"
interface eth0 internet
client icq accept
-
Lukas: Nemel bych spis pridat *server* dcpp accept?
Kazdopadne diky za info
-
Ne, vy jste klient.
-
Klient je prece pripojeni z meho PC "ven". Ale kdyz chci, aby mohli lide stahovat odemne, tak musim byt server... Nebo se pletu?
-
Pokud vam na pocitaci bezi DCpp klient tak jste klient, i kdyz data tecou obema smery (k vam i od vas). Pokud doma provozujete DCpp server (hub), pak jste server.
-
Tomuhle tedy nerozumim... :)
Budu si muset najit nejaky clanky na webu a doplnit si vzdelani
-
Zkusim to vysvetlit. Klient je vzdycky ten, kdo jako prvni navazuje spojeni (smerem k serveru), server odpovida na pozadavky klienta. DC je castecne centralizovana sit, tzn. ze musi existovat nejake centralni misto, kam se pripojuji klienti (v pripade DC je takovym mistem hub).
-
Konecne jsem se dostal k tomu, abych si trosku zatestoval:
Pokud si nepovolim server, napr server emule accept, jak jsem puvodne mel, tak mam na eMule low id a Kad ukazuje "firewalled".
Jine P2P jsem zatim nezkousel, ale pocitam, ze i na DC++ bych byl jen passive.
Takze to povoleni serveru je nutne, pokud chci P2P vyuzit naplno
-
Neexistuje nejaka utilitka, ktera by mi zobrazovala, jestli Firehol zrovna neco neblokuje? Vyhovovalo by mi neco jako u Firestarteru - kdyz si ho otevru, ukazuje, ktera spojeni jsou zrovna aktivni a predevsim, co blokuje.
Nejlepe GUI, ale stacilo by i neco v terminalu. Hlavne, aby to bylo real-time a prehledny.
-
Kazdy blokovany paket se loguje
tail -f /var/log/kern.log
-
Jenze tohle prave neni moc prehledny. Stacily by mi informace: cas, zdrojova ip+ port, cilova ip + port.
V tomhle nez si neco prectu, tak uz je to davno pryc :)
-
Pokud se chci ze sveho PC pripojovat na druhe PC pres sambu,co vsechno musim mit povoleny ve firewallu? Mam povoleny vsechny klienty (client all accept), ale stejne se mi nejde na druhy PC pripojit. Jde to pouze pokud firewall vypnu. Mohl by mi to nekdo vysvetlit? Diky
-
melo by stacit
client samba acceptviz. http://firehol.sourceforge.net/services.html#samba
Jak se pripojujete? Z prikazoveho radku prikazem mount?
-
Rekneme, ze bych chtel zakazat client vsechny porty 1024 az 65535?
Mam si nadefinovat nejakou sluzbu a tu pak zakazat? Napr.
client_test_ports="tcp/1024:65535"
client test deny
client all acceptNebo to ma nejaky lepsi reseni?
-
Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.
-
Da sa nastavit aby firehol vytvaral samostatny log na blokovane pakety ?
-
Iptables standardne loguji do /var/log/kern.log, urcite to jde zmenit. Zatim jsem to neresil takze nevim.
-
Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.
To ale neni reseni, ptal jsem se na neco jineho. Ja vim, jak povolit jen konkretni sluzby. ALe chci udelat trosku neco jineho
-
Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.
To ale neni reseni, ptal jsem se na neco jineho. Ja vim, jak povolit jen konkretni sluzby. ALe chci udelat trosku neco jineho
mno ...
naco taky paranoidny fw ... preco blokovat odchadzajuci traffic?
ale ked uz,tak preco to nerobit tak,ze povolis porty ktore sa mozu pouzivat a nie zakazovat tie co sa nemaju?
-
Ja je nechci blokovat, to uvadim pro zjednoduseni, aby se to zbytecne nekomplikovalo. Potrebuju, aby urcity rozsah portu filtrovala jedna aplikace a potrebuju tento rozsah nadefinovat ve Fireholu.
Pokud nikdo nema lepsi napad, jak to udelat jinak, nez jsem psal, tak to tak necham - o nic nejde, jen jsem se chtel ujistit, jestli neexistuje "cistsi" reseni :)
-
"Potrebuju, aby urcity rozsah portu filtrovala jedna aplikace a potrebuju tento rozsah nadefinovat ve Fireholu."
A tomuto teda nerozumiem ... ale uz je pokrocila nocna hodina,idem ja radsej spat :o)
-
Takze chcete povolit vsechno krome urciteho specifickeho rozsahu portu u odchoziho provozu?
Prichozi provoz se ma filtrovat jak? Take vsechno povolit?
-
server ma vyreseny
client jsem vyresil takto:
DEFAULT_CLIENT_PORTS="1024:65535"
# dummy - client moblock
server_dummy_ports="tcp/1024:65535"
client_dummy_ports="default"
client dummy deny
client all acceptZatim jsem to netestoval, ale melo by to fungovat :)
-
Si nejsem jisty, jestli client all accept "neprebije" client dummy deny. Nutno vyzkouset. Osobne se opet primlouvam za reseni s "policy drop" a povolit jen to co je treba.
-
Si nejsem jisty, jestli client all accept "neprebije" client dummy deny. Nutno vyzkouset. Osobne se opet primlouvam za reseni s "policy drop" a povolit jen to co je treba.
Neprebije, to jsem testoval.
-
tak jsem to pročetl ale stejně mi po nastavení nejde AZUREUS :(
pošlete mi někdo prosím nastavení FIREHOLU pro torrent, to co jsem zde ve foru našel a použil nefunguje :(
-
http://forum.ubuntu.cz/viewtopic.php?id=3436 tu to mas od lukasa, mne to funguje