Autor Téma: Jak povolit IGMP ve firewallu??? (Přečteno 4507 krát)

mirak · « **kdy:** 03 Října 2006, 14:45:46 »

Pouzivam standardni firewall - iptables. Ke kofiguraci firewallu pouzivam Firestarter, ale nikde jsem tam nenasel jak povolit IGMP, mate s tim nekdo zkusenosti?

radeczech · « **Odpověď #1 kdy:** 03 Října 2006, 15:34:59 »

Co zkusit tento příkaz:

Kód: [Vybrat]

$IPTABLES -A OUTPUT -o $INET_IFACE -p icmp -j ACCEPT #icmppřípadně mrkni sem:
http://forum.ubuntu.cz/viewtopic.php?id=2587
nebo tady:
http://forum.ubuntu.cz/viewtopic.php?id=3249

mirak · « **Odpověď #2 kdy:** 03 Října 2006, 20:45:32 »

diky, povolit ICMP (Internet Control Message Protocol) umim, ale ja potrebuji povolit IGMP (Internet Group Management Protocol)

LS · « **Odpověď #3 kdy:** 03 Října 2006, 21:17:57 »

Bohuzel man iptables i netfilter-devel mailing list na toto tema mlci

Pochybuji ze by Firestarter toto umel nejak resit.

LS · « **Odpověď #4 kdy:** 04 Října 2006, 09:32:51 »

Protokol IGMP by mel mit PROTO=2. Pokud chcete povolit vsechny IGMP pakety, pouzijte "-p 2".

mirak · « **Odpověď #5 kdy:** 04 Října 2006, 09:38:44 »

Diky, ale kde mam pouzit to "-p 2"? Staci mi povolit IGMP z jedne IP.

LS · « **Odpověď #6 kdy:** 04 Října 2006, 09:43:23 »

Pokud Firestarter neumi definovat nova pravidla s urcenim libovolneho protokolu (nevim, pouzivam FireHOL), bude potreba spoustet firewall primo nejakym skriptem pro konfiguraci iptables. Viz. napr. http://forum.ubuntu.cz/viewtopic.php?pid=19902#p19902
Samozrejme neni problrm povolit pouze pakety prichazejici z konkretni IP adresy (--src xxx.xxx.xxx.xxx).

mirak · « **Odpověď #7 kdy:** 04 Října 2006, 09:48:46 »

Ve Firestarteru lze povolit bud prihozi spojeni z PC podle IP nebo povolit nejakou sluzbu podle portu, coz je u IGMP podle mne nejde. Jinak diky, zkusim se s tim poprat

.

mirak · « **Odpověď #8 kdy:** 04 Října 2006, 10:06:26 »

A v tom FireHOL, ktery pouzivate to jde nastavit nejak snadneji?
P.S.: Vase HOWTO jak nastavit Ubuntu po instalaci je opravdu skvele :cool:.

LS · « **Odpověď #9 kdy:** 04 Října 2006, 11:20:51 »

ve FireHOLu bych to resil takto:

Kód: [Vybrat]

server custom igmp-mcast-receive igmp/any any accept src xxx.xxx.xxx.xxx dst yyy.yyy.yyy.yyy
client custom igmp-mcast-send igmp/any any accept src xxx.xxx.xxx.xxx dst yyy.yyy.yyy.yyy

Rozsah zdroju a cilu muzete upravit vcetne pouziti masky (adresa/maska). Vyzkousejte a dejte vedet jestli to funguje

Pro zajimavost si pak vypiste vsechna pravidla iptables, ktera FireHOL vygeneroval:

Kód: [Vybrat]

sudo firehol debug | grep -i igmp