Fórum Ubuntu CZ/SK

Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: tondo 19 Srpna 2010, 11:51:58

Název: iptables - znizenie ttl (SOLVED)
Přispěvatel: tondo 19 Srpna 2010, 11:51:58

Dobry den,
ako firewall pouzivam program iptables (resp. ho mam len nainstalovany :)).
mam notebook pomocou ktoreho sa budem pripajat k sieti na VS (cize priamo notebook bude mat verejnu ip)
na notebooku by som rad mal pusteny ftp server na ktory sa bude dat prihlasit pomocou "anonymous" uctu ale nechcem aby bol pristupny z celeho internetu ale iba z lokalnej siete. jedina moznost ktora ma napadla ako by to bolo mozne je pomocou iptables prevadzat toto
"odchadzajuce pakety na porte 21 budu mat hodnotu ttl nastavenu na 0"
to zabezpeci ze prvy smerovac pakety zahodi a tym bude ftp dostupne len lokalne
viem ze toto iptables dokaze len si neviem dat rady s pravidlom ktore by to uskutocnilo
za dobre rady vopred dakujem ;)

Název: Re: iptables - znizenie ttl
Přispěvatel: DuckD 19 Srpna 2010, 14:55:57

Třeba takto:
1) Vytvoříš chain ftp

Kód: [Vybrat]

iptables -N ftp
2) Přesměruješ pakety mířené na FTP server do chainu ftp

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 21 -j ftp
iptables -A INPUT -p udp --dport 21 -j ftp
3) Akceptuješ pakety z místní sítě

Kód: [Vybrat]

iptables -A ftp -s 192.168.1.0/24 -j ACCEPT
4) A zahazuješ všechny ostatní

Kód: [Vybrat]

iptables -A ftp -j DROP

Název: Re: iptables - znizenie ttl
Přispěvatel: tondo 19 Srpna 2010, 23:28:30

dik za odpoved ale toto riesenie by som radsej zavrhol pretoze neviem aky adresny rozsah je pouzity a chcem aby to fungovalo aj v inych sietach

k tomu sposobu s upravovanim ttl som nasiel nieco a trochu to upravil

Kód: [Vybrat]

iptables -t mangle -A OUTPUT -o wlan0 -j TTL --ttl-set 0problem ale je ze to robi pre vsetky porty a nie len pre port 21
pokial tam ten port definujem

Kód: [Vybrat]

iptables -t mangle -A OUTPUT -o wlan0 --source-port 21 -j TTL --ttl-set 0tak pravidlo odmietne s poznamkou

Kód: [Vybrat]

iptables v1.4.4: unknown option `--source-port'v man strankach je pisane ze takyto parameter existuje
pravdepodobne na to bude existovat nejaky sposob ako ten port definovat tak ak niekto vie poradte :D

TAKZE PROBLEM SOLVED :D
problem bol v tom ze pokial som chcel definovat port tak treba pred nim definovat aj protokol transportnej vrstvy
a riesenie

Kód: [Vybrat]

iptables -t mangle -A OUTPUT -o wlan0 -p tcp --sport 21 -j TTL --ttl-set 0
iptables -t mangle -A OUTPUT -o wlan0 -p udp --sport 21 -j TTL --ttl-set 0 a toto definovat pre kazde rozhranie

ale este by som jednu vec potreboval :)
ako tie pravidla ulozim aby boli automaticky aplikovane aj po restarte?
ako ich odstranim co najrychlejsie ak to niekedy budem potrebovat?