Autor Téma: firehol + traceroute (Přečteno 3944 krát)

makl · « **kdy:** 08 Února 2007, 16:26:48 »

Jak si mohu nastavit ve Fireholu povolení pro traceroute?
Dostávám akorát "traceroute: sendto: Operation not permitted"
Na http://firehol.sourceforge.net/services.html jsem nic nenašel a podle kern.log se traceroute snaží o přístup na různých portech.
PS: ping funguje (nevím nakolik to s tím souvisí)

romi · « **Odpověď #1 kdy:** 08 Února 2007, 20:17:54 »

mas bloknute icmp ... povol si tam echo

makl · « **Odpověď #2 kdy:** 08 Února 2007, 21:57:59 »

Zkusil jsem ale nefunguje (musíte na mě polopaticky)
Výpis z traceroute:

Kód: [Vybrat]

traceroute www.seznam.cz
traceroute to www.seznam.cz (194.228.32.3), 30 hops max, 40 byte packets
traceroute: sendto: Operation not permitted
 1 traceroute: wrote www.seznam.cz 40 chars, ret=-1
 *traceroute: sendto: Operation not permitted
traceroute: wrote www.seznam.cz 40 chars, ret=-1
 *traceroute: sendto: Operation not permitted
traceroute: wrote www.seznam.cz 40 chars, ret=-1
 *
traceroute: sendto: Operation not permitted
 2 traceroute: wrote www.seznam.cz 40 chars, ret=-1
 *traceroute: sendto: Operation not permitted
traceroute: wrote www.seznam.cz 40 chars, ret=-1
 *traceroute: sendto: Operation not permitted

Konfigurace fireholu:

Kód: [Vybrat]

version 5

DEFAULT_CLIENT_PORTS="1024:65535"

server_icq_ports="tcp/5190"
client_icq_ports="default"

interface eth+ internet
    policy              drop
    protection          strong 10/sec 10
    server ident        reject with tcp-reset
#    server ssh         accept
#    server ping        accept
    client ping         accept
    client ICMP         accept
    client dhcp         accept
    client dns          accept
    client http         accept
    client https        accept
    client ftp          accept
    client pop3s        accept
    client smtp         accept
    client ntp          accept
    client ssh          accept
    client icq          accept
    client jabber       accept
    client cups         accept
    client samba        accept

UNMATCHED_INPUT_POLICY="DROP"
UNMATCHED_OUTPUT_POLICY="DROP"
FIREHOL_LOG_LEVEL=4

makl · « **Odpověď #3 kdy:** 09 Února 2007, 18:17:43 »

Neporadí někdo?
Ten řádek " client ICMP accept" jsem do toho konfuguračního souboru dopsal na základě randyho příspěvku, ale nijak se neprojevilo na funkčnosti traceroute.
Umístěte sem prosím někdo, komu funguje traceroute, svůj firehol.conf případně uveďte další potřebné informace. Díky předem.

Pavelp · « **Odpověď #4 kdy:** 09 Února 2007, 18:27:37 »

Pokud je tam jen jeden interface:
povolit protokol icmp z vnitrni adresy na vnejsi interface.
povolit protokol icmp na input.

Firehol neumim, netusim jak to udelat.

makl · « **Odpověď #5 kdy:** 09 Února 2007, 18:53:05 »

Tak jsem jen zkusmo připsal do firehol.conf povolení pro klienta i server malými i velkými písmeny a stejně nic

Kód: [Vybrat]

    server ICMP         accept
    client ICMP         accept
    server icmp         accept
    client icmp         accept

takže jsem to raději zase umazal.

makl · « **Odpověď #6 kdy:** 09 Února 2007, 19:57:09 »

Pokoušel jsem se najít něco na internetu, ale jediné co se mi zdá použitelné (http://comments.gmane.org/gmane.comp.security.firewalls.firehol.user/81) je na mě moc složité, ale snad se v tom někdo vyzná.

nuclex · « **Odpověď #7 kdy:** 10 Února 2007, 02:33:11 »

http://sourceforge.net/tracker/index.php?func=detail&aid=927509&group_id=58425&atid=487692

max007 · « **Odpověď #8 kdy:** 09 Září 2007, 14:15:56 »

zdravim chtel jsem se zeptat jestli nekdo nevi, jak zapsat do konfigurace fireholu povoleni ftp serveru (gproftp). asi nestaci

Kód: [Vybrat]

server ftp accept

Autor Téma: firehol + traceroute (Přečteno 3944 krát)

Pavelp