Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Cepela 23 Září 2009, 21:55:02
-
Ahoj, nesetkal jste se nekdo stim, ze kdyz mate router pomoci fireholu, tak vam nejdou zobrazit alba na rajce.net??? Stranky se sice nactou, ale misto fotek a nahledu alb je jen prazdny ramecek. Jedine fotky co se mi zobrazi jsou hned na uvodni strance. Patrne to chce komunikovat pres jine porty, ale nevim jak firehol premluvit, aby to spravne routoval.
V logu je videt jen toto:
Sep 23 21:42:17 server kernel: [3297978.075724] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:42:19 server kernel: [3297980.479904] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=9425 DF PROTO=TCP SPT=48056 DPT=80 WINDOW=7504 RES=0x00 ACK FIN URGP=0
Sep 23 21:42:48 server kernel: [3298009.100139] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:43:03 server kernel: [3298024.516272] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=9426 DF PROTO=TCP SPT=48056 DPT=80 WINDOW=7504 RES=0x00 ACK FIN URGP=0
Sep 23 21:43:19 server kernel: [3298040.304503] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:43:50 server kernel: [3298071.328253] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:44:14 server kernel: [3298095.257600] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=42572 DF PROTO=TCP SPT=48100 DPT=80 WINDOW=6743 RES=0x00 ACK FIN URGP=0
Sep 23 21:44:21 server kernel: [3298102.570697] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:44:46 server kernel: [3298127.120760] ''IN-modem':'IN=ppp0 OUT= MAC= SRC=80.102.51.76 DST=80.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=34 ID=34241 DF PROTO=TCP SPT=3475 DPT=1433 WINDOW=53760 RES=0x00 SYN URGP=65471
Sep 23 21:44:52 server kernel: [3298133.600119] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:45:23 server kernel: [3298164.427109] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:45:54 server kernel: [3298195.452059] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203
Sep 23 21:46:25 server kernel: [3298226.680355] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203192.168.10.100 je adresa klienta z ktereho se pokousim rajce.net otevrit a 192.168.10.206 adresa serveru-routru. Takze v logu take neni videt pro by blokoval.
Nastaveni fireholu:
version 5
FIREHOL_LOG_LEVEL="7"
DEFAULT_CLIENT_PORTS="1024:65535"
public_ip="80.xxx.xxx.xxx"
server_icq_ports="tcp/5190"
client_icq_ports="default"
home_ips="192.168.10.206/24"
interface eth1 internal src "${home_ips}"
policy reject
server all accept
client all accept
interface eth0 external src not "${home_ips} ${UNROUTABLE_IPS}"
protection strong 10/sec 10
policy drop
server ident reject with tcp-reset
client all accept
interface ppp0 modem src not "${home_ips} ${UNROUTABLE_IPS}"
protection strong 10/sec 10
policy drop
server icmp accept
server ping accept
server ident reject with tcp-reset
server http accept
server imap accept
server smtp accept
server ssh accept
server dcc accept
server ftp accept
client all accept
router modem2internal inface ppp0 outface eth1
masquerade reverse
client all accept
server ident reject with tcp-reset
Jeste tak koukam a naprosto nechapu, proc to blokuje komunikaci zevnitr na tu 91.203.99.45, kdyz je tam client all accept.
Stranky firehol.org toho bohuzel o ladeni moc nereknou.
Diky za info
-
Nikoho nic nenapada???? ???
-
napadá - odstavit firewall, testnout, pokud stejné chování - hledat chybu jinde. BTW blokování tam nevidím - PASS != BLOCK
-
Pokud dam do /etc/firehol/firehol.conf u interface ppp0 server all accept (ostatni polozky server zakomentuji) tak to bezi jako po masle, takze to urcite je problem v fireholu...... Proc to ale neni videt v tom logu..... ???
-
Tohle by mohlo pomoci:
http://firehol.sourceforge.net/commands.html?#log
btw na generování pravidel pro FW používám raději fwbuilder (http://www.fwbuilder.org/), krásná věcička, v posledních verzích už absolutně nepadavá. Je i v repozitářích. Recenzi a návod mám rozepsané.
-
Diky, zkusim na to kouknout. Bohuzel ten FB je pro me nepouzitelnej, protoze co jsem tak kouknul tak je to GUI a tahle masina nema Xka.
-
Tak ono se to prave vyresilo samo, provedl jsem upgrade a potom restart celeho zeleza brany a ono po nabehnuti to uz jede jak ma samo.... Patrne tam byl nejaky bordel v iptables ktery se nesmazal pri restartu fireholu. Kazdopadne VYRESENO.
-
kouknul tak je to GUI a tahle masina nema Xka.
V tom je právě ten vtip - nainstaluje se na něco s X, nakliká se, a dá se uploadnout klidně na server bez X. Stačí zadat IP a jméno/heslo na ssh.
-
tak na ten navod si rad pockam, dnes si stim cely den hraju a moc z toho nejsem.... zda se mi to hrozne neprehledne.
-
Tak jak pokracuji prace na navodu? Uz se ho nemuzu dockat. ;D
-
mizerně, nepokročil jsem, dvě fulltime zaměstnání a zdejší fórum ::)
-
JJ, to chapu, take mam dopoledni a odpoledni zamestnani... ::)