Autor Téma: Firehol - nastaveni (Přečteno 8925 krát)

Jere · « **kdy:** 01 Září 2006, 19:24:53 »

Pouzivam Firestarter, ale rad bych zkusil Firehol. Podle dokumentace jsem si zkusil napsat konfiguracni soubor, mohl by mi ho nekdo z vas zkontrolovat, pripadne dodat nejake pripominky, na co jsem zapomnel? V "sitovani" se moc nevyznam

Bezpecnost je pro me docela dulezita

Mam verejnou IP. Na routeru (192.168.1.1) je nastavene presmerovani vsech portu na desktop (192.168.1.2) - takze ten PC se tvari, jako by byl primo pripojeny na internet s verejnou IP. Dale mam na router napojene family-PC (192.168.1.3) a obcas notebook 192.168.1.4.

Kód: [Vybrat]

version 5

# The network of our eth0 LAN.
home_ips="192.168.1.0/24"

# INTERNET
interface eth0 internet src not "${home_ips}" 
	protection strong 10/sec 10

	server ident reject with tcp-reset
	server emule 	accept
#torrent, dc++, emule- p2p??
	
	client all	accept

# DOMACI SIT
interface eth0 lan src "${home_ips}" 

	server samba	accept
	server http	accept
	server https	accept
	server mysql 	accept
	
	client all 	accept

V prvni casti INTERNET nevim, jak nastavit P2P site jako DC++ atd... V manualu je sice uvedena sluzba "P2P", ale neni tam uvedene, jakych portu se to tyka. Daji se treba nejak rucne psat rozsahy portu?

Predem diky za rady.

LS · « **Odpověď #1 kdy:** 05 Září 2006, 14:36:28 »

Bohuzel sluzba p2p neni v dokumentaci nija blize popsana. DC++ pouziva porty TCP1412 a UDP1412, je ve FireHolu definovany jako sluzba dcpp. Takze pro povoleni odchoziho spojeni do DCpp site pridejte toto:

Kód: [Vybrat]

client dcpp acceptPro povoleni pristupu do site eDonkey je ve FireHol definovana sluzba emule, ktera otevira komunikaci na TCP4661, TCP4662, TCP4665, TCP4672.

Vlastni sluzbu si muzete snadno nadefinovat, viz. http://firehol.sourceforge.net/adding.html

Kód: [Vybrat]

server_icq_ports="tcp/5190"
client_icq_ports="default"

interface eth0 internet
client icq accept

Jere · « **Odpověď #2 kdy:** 05 Září 2006, 18:33:34 »

Lukas: Nemel bych spis pridat *server* dcpp accept?
Kazdopadne diky za info

LS · « **Odpověď #3 kdy:** 05 Září 2006, 20:26:45 »

Ne, vy jste klient.

Jere · « **Odpověď #4 kdy:** 05 Září 2006, 20:28:31 »

Klient je prece pripojeni z meho PC "ven". Ale kdyz chci, aby mohli lide stahovat odemne, tak musim byt server... Nebo se pletu?

LS · « **Odpověď #5 kdy:** 05 Září 2006, 20:54:37 »

Pokud vam na pocitaci bezi DCpp klient tak jste klient, i kdyz data tecou obema smery (k vam i od vas). Pokud doma provozujete DCpp server (hub), pak jste server.

Jere · « **Odpověď #6 kdy:** 05 Září 2006, 20:59:26 »

Tomuhle tedy nerozumim...

Budu si muset najit nejaky clanky na webu a doplnit si vzdelani

LS · « **Odpověď #7 kdy:** 06 Září 2006, 00:28:19 »

Zkusim to vysvetlit. Klient je vzdycky ten, kdo jako prvni navazuje spojeni (smerem k serveru), server odpovida na pozadavky klienta. DC je castecne centralizovana sit, tzn. ze musi existovat nejake centralni misto, kam se pripojuji klienti (v pripade DC je takovym mistem hub).

Jere · « **Odpověď #8 kdy:** 16 Září 2006, 00:01:13 »

Konecne jsem se dostal k tomu, abych si trosku zatestoval:

Pokud si nepovolim server, napr server emule accept, jak jsem puvodne mel, tak mam na eMule low id a Kad ukazuje "firewalled".
Jine P2P jsem zatim nezkousel, ale pocitam, ze i na DC++ bych byl jen passive.

Takze to povoleni serveru je nutne, pokud chci P2P vyuzit naplno

Jere · « **Odpověď #9 kdy:** 21 Září 2006, 02:32:41 »

Neexistuje nejaka utilitka, ktera by mi zobrazovala, jestli Firehol zrovna neco neblokuje? Vyhovovalo by mi neco jako u Firestarteru - kdyz si ho otevru, ukazuje, ktera spojeni jsou zrovna aktivni a predevsim, co blokuje.
Nejlepe GUI, ale stacilo by i neco v terminalu. Hlavne, aby to bylo real-time a prehledny.

LS · « **Odpověď #10 kdy:** 21 Září 2006, 09:50:37 »

Kazdy blokovany paket se loguje

Kód: [Vybrat]

tail -f /var/log/kern.log

Jere · « **Odpověď #11 kdy:** 21 Září 2006, 11:12:18 »

Jenze tohle prave neni moc prehledny. Stacily by mi informace: cas, zdrojova ip+ port, cilova ip + port.
V tomhle nez si neco prectu, tak uz je to davno pryc

Jere · « **Odpověď #12 kdy:** 22 Září 2006, 21:56:53 »

Pokud se chci ze sveho PC pripojovat na druhe PC pres sambu,co vsechno musim mit povoleny ve firewallu? Mam povoleny vsechny klienty (client all accept), ale stejne se mi nejde na druhy PC pripojit. Jde to pouze pokud firewall vypnu. Mohl by mi to nekdo vysvetlit? Diky

LS · « **Odpověď #13 kdy:** 23 Září 2006, 19:50:11 »

melo by stacit

Kód: [Vybrat]

client samba acceptviz. http://firehol.sourceforge.net/services.html#samba

Jak se pripojujete? Z prikazoveho radku prikazem mount?

Jere · « **Odpověď #14 kdy:** 17 Října 2006, 17:27:13 »

Rekneme, ze bych chtel zakazat client vsechny porty 1024 az 65535?
Mam si nadefinovat nejakou sluzbu a tu pak zakazat? Napr.

Kód: [Vybrat]

client_test_ports="tcp/1024:65535"

client test deny
client all	accept

Nebo to ma nejaky lepsi reseni?

LS · « **Odpověď #15 kdy:** 17 Října 2006, 17:49:21 »

Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.

DaedRuaN · « **Odpověď #16 kdy:** 17 Října 2006, 18:58:43 »

Da sa nastavit aby firehol vytvaral samostatny log na blokovane pakety ?

LS · « **Odpověď #17 kdy:** 17 Října 2006, 21:02:19 »

Iptables standardne loguji do /var/log/kern.log, urcite to jde zmenit. Zatim jsem to neresil takze nevim.

Jere · « **Odpověď #18 kdy:** 17 Října 2006, 21:48:15 »

Citace: lukas.svoboda

Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.

To ale neni reseni, ptal jsem se na neco jineho. Ja vim, jak povolit jen konkretni sluzby. ALe chci udelat trosku neco jineho

kriloter · « **Odpověď #19 kdy:** 17 Října 2006, 23:26:02 »

Citace: Jarda

Citace: lukas.svoboda
Lepsi reseni pochopitelne existuje, viz. prvni odkaz v mem podpisu.
Pokud v konfiguraci nastavite policy drop, rikate tim FireHOLu, ze ma blokovat VSECHNO co neni explicitne povoleno.
To ale neni reseni, ptal jsem se na neco jineho. Ja vim, jak povolit jen konkretni sluzby. ALe chci udelat trosku neco jineho

mno ...
naco taky paranoidny fw ... preco blokovat odchadzajuci traffic?
ale ked uz,tak preco to nerobit tak,ze povolis porty ktore sa mozu pouzivat a nie zakazovat tie co sa nemaju?

Jere · « **Odpověď #20 kdy:** 17 Října 2006, 23:36:50 »

Ja je nechci blokovat, to uvadim pro zjednoduseni, aby se to zbytecne nekomplikovalo. Potrebuju, aby urcity rozsah portu filtrovala jedna aplikace a potrebuju tento rozsah nadefinovat ve Fireholu.

Pokud nikdo nema lepsi napad, jak to udelat jinak, nez jsem psal, tak to tak necham - o nic nejde, jen jsem se chtel ujistit, jestli neexistuje "cistsi" reseni

kriloter · « **Odpověď #21 kdy:** 17 Října 2006, 23:41:52 »

"Potrebuju, aby urcity rozsah portu filtrovala jedna aplikace a potrebuju tento rozsah nadefinovat ve Fireholu."

A tomuto teda nerozumiem ... ale uz je pokrocila nocna hodina,idem ja radsej spat

)

LS · « **Odpověď #22 kdy:** 18 Října 2006, 09:43:38 »

Takze chcete povolit vsechno krome urciteho specifickeho rozsahu portu u odchoziho provozu?
Prichozi provoz se ma filtrovat jak? Take vsechno povolit?

Jere · « **Odpověď #23 kdy:** 19 Října 2006, 18:21:50 »

server ma vyreseny
client jsem vyresil takto:

Kód: [Vybrat]

DEFAULT_CLIENT_PORTS="1024:65535"

# dummy - client moblock
server_dummy_ports="tcp/1024:65535"
client_dummy_ports="default"

client dummy 	deny
client all	accept

Zatim jsem to netestoval, ale melo by to fungovat

LS · « **Odpověď #24 kdy:** 19 Října 2006, 18:41:14 »

Si nejsem jisty, jestli client all accept "neprebije" client dummy deny. Nutno vyzkouset. Osobne se opet primlouvam za reseni s "policy drop" a povolit jen to co je treba.