Autor Téma: Firehol blokuje rajce.net [vyřešeno] (Přečteno 2718 krát)

Cepela · « **kdy:** 23 Září 2009, 21:55:02 »

Ahoj, nesetkal jste se nekdo stim, ze kdyz mate router pomoci fireholu, tak vam nejdou zobrazit alba na rajce.net??? Stranky se sice nactou, ale misto fotek a nahledu alb je jen prazdny ramecek. Jedine fotky co se mi zobrazi jsou hned na uvodni strance. Patrne to chce komunikovat pres jine porty, ale nevim jak firehol premluvit, aby to spravne routoval.
V logu je videt jen toto:

Kód: [Vybrat]

Sep 23 21:42:17 server kernel: [3297978.075724] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:42:19 server kernel: [3297980.479904] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=9425 DF PROTO=TCP SPT=48056 DPT=80 WINDOW=7504 RES=0x00 ACK FIN URGP=0 
Sep 23 21:42:48 server kernel: [3298009.100139] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:43:03 server kernel: [3298024.516272] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=9426 DF PROTO=TCP SPT=48056 DPT=80 WINDOW=7504 RES=0x00 ACK FIN URGP=0 
Sep 23 21:43:19 server kernel: [3298040.304503] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:43:50 server kernel: [3298071.328253] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:44:14 server kernel: [3298095.257600] 'PASS-unknown:'IN=eth1 OUT=ppp0 SRC=192.168.10.100 DST=91.203.99.45 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=42572 DF PROTO=TCP SPT=48100 DPT=80 WINDOW=6743 RES=0x00 ACK FIN URGP=0 
Sep 23 21:44:21 server kernel: [3298102.570697] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:44:46 server kernel: [3298127.120760] ''IN-modem':'IN=ppp0 OUT= MAC= SRC=80.102.51.76 DST=80.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=34 ID=34241 DF PROTO=TCP SPT=3475 DPT=1433 WINDOW=53760 RES=0x00 SYN URGP=65471 
Sep 23 21:44:52 server kernel: [3298133.600119] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:45:23 server kernel: [3298164.427109] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:45:54 server kernel: [3298195.452059] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203 
Sep 23 21:46:25 server kernel: [3298226.680355] 'OUT-unknown:'IN= OUT=eth1 SRC=192.168.10.206 DST=10.0.0.255 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=203

192.168.10.100 je adresa klienta z ktereho se pokousim rajce.net otevrit a 192.168.10.206 adresa serveru-routru. Takze v logu take neni videt pro by blokoval.

Nastaveni fireholu:

Kód: [Vybrat]

version 5

FIREHOL_LOG_LEVEL="7"

DEFAULT_CLIENT_PORTS="1024:65535"

public_ip="80.xxx.xxx.xxx"

server_icq_ports="tcp/5190"
client_icq_ports="default"

home_ips="192.168.10.206/24"

interface eth1 internal src "${home_ips}"
        policy                  reject
        server all              accept
        client all              accept

interface eth0 external src not "${home_ips} ${UNROUTABLE_IPS}"
        protection strong 10/sec 10
        policy                  drop
        server ident            reject with tcp-reset
        client all              accept

interface ppp0 modem src not "${home_ips} ${UNROUTABLE_IPS}"
        protection strong 10/sec 10
        policy                  drop
        server icmp             accept
        server ping             accept
        server ident            reject with tcp-reset
        server http             accept
        server imap             accept
        server smtp             accept
        server ssh              accept
        server dcc              accept
        server ftp              accept
        client all              accept

router modem2internal inface ppp0 outface eth1
        masquerade reverse
        client all      accept
        server ident    reject with tcp-reset

Jeste tak koukam a naprosto nechapu, proc to blokuje komunikaci zevnitr na tu 91.203.99.45, kdyz je tam client all accept.

Stranky firehol.org toho bohuzel o ladeni moc nereknou.

Diky za info

Cepela · « **Odpověď #1 kdy:** 30 Září 2009, 22:59:43 »

Nikoho nic nenapada?

Martin Kiklhorn · « **Odpověď #2 kdy:** 30 Září 2009, 23:19:21 »

napadá - odstavit firewall, testnout, pokud stejné chování - hledat chybu jinde. BTW blokování tam nevidím - PASS != BLOCK

Cepela · « **Odpověď #3 kdy:** 01 Října 2009, 23:20:28 »

Pokud dam do /etc/firehol/firehol.conf u interface ppp0 server all accept (ostatni polozky server zakomentuji) tak to bezi jako po masle, takze to urcite je problem v fireholu...... Proc to ale neni videt v tom logu.....

Martin Kiklhorn · « **Odpověď #4 kdy:** 01 Října 2009, 23:46:29 »

Tohle by mohlo pomoci:
http://firehol.sourceforge.net/commands.html?#log

btw na generování pravidel pro FW používám raději fwbuilder, krásná věcička, v posledních verzích už absolutně nepadavá. Je i v repozitářích. Recenzi a návod mám rozepsané.

Cepela · « **Odpověď #5 kdy:** 02 Října 2009, 00:29:05 »

Diky, zkusim na to kouknout. Bohuzel ten FB je pro me nepouzitelnej, protoze co jsem tak kouknul tak je to GUI a tahle masina nema Xka.

Cepela · « **Odpověď #6 kdy:** 02 Října 2009, 00:35:15 »

Tak ono se to prave vyresilo samo, provedl jsem upgrade a potom restart celeho zeleza brany a ono po nabehnuti to uz jede jak ma samo.... Patrne tam byl nejaky bordel v iptables ktery se nesmazal pri restartu fireholu. Kazdopadne VYRESENO.

Martin Kiklhorn · « **Odpověď #7 kdy:** 02 Října 2009, 00:42:34 »

Citace: Cepela 02 Října 2009, 00:29:05

kouknul tak je to GUI a tahle masina nema Xka.

V tom je právě ten vtip - nainstaluje se na něco s X, nakliká se, a dá se uploadnout klidně na server bez X. Stačí zadat IP a jméno/heslo na ssh.

Cepela · « **Odpověď #8 kdy:** 13 Října 2009, 15:19:23 »

tak na ten navod si rad pockam, dnes si stim cely den hraju a moc z toho nejsem.... zda se mi to hrozne neprehledne.

Cepela · « **Odpověď #9 kdy:** 19 Listopadu 2009, 09:29:38 »

Tak jak pokracuji prace na navodu? Uz se ho nemuzu dockat.

Martin Kiklhorn · « **Odpověď #10 kdy:** 20 Listopadu 2009, 00:08:35 »

mizerně, nepokročil jsem, dvě fulltime zaměstnání a zdejší fórum

Cepela · « **Odpověď #11 kdy:** 22 Listopadu 2009, 22:45:06 »

JJ, to chapu, take mam dopoledni a odpoledni zamestnani...

Autor Téma: Firehol blokuje rajce.net [vyřešeno] (Přečteno 2718 krát)

Cepela

Firehol blokuje rajce.net [vyřešeno]

Cepela

Re: Firehol blokuje rajce.net

Martin Kiklhorn

Re: Firehol blokuje rajce.net

Cepela

Re: Firehol blokuje rajce.net

Martin Kiklhorn

Re: Firehol blokuje rajce.net

Cepela

Re: Firehol blokuje rajce.net

Cepela

Re: Firehol blokuje rajce.net

Martin Kiklhorn

Re: Firehol blokuje rajce.net

Cepela

Re: Firehol blokuje rajce.net [vyřešeno]

Cepela

Re: Firehol blokuje rajce.net [vyřešeno]

Martin Kiklhorn

Re: Firehol blokuje rajce.net [vyřešeno]

Cepela

Re: Firehol blokuje rajce.net [vyřešeno]