Mandriva Fórum

Systém a serverové služby => Připojení k LAN => : jan_van September 30, 2009, 16:20:21



: Povolení IP adresy
: jan_van September 30, 2009, 16:20:21
Ahojte, stavím si doma počítačovou síť ze dvou počítačů (NB, PC) propojovací médium je kabel (RJ-45) a prostředník router pro připojení až 4 počítačů (D-link). Na obou počítačích běží Mandriva 2008.1.

Nyní jsem ve stádiu, kdy řeším povolení IP adres ve firewall. Páč když se chci ping-nout tak mi to nic nedělá

:
[root@localhost janvan]# ping 192.168.0.101
PING 192.168.0.101 (192.168.0.101) 56(84) bytes of data.
   
               
a čekám....

, ale pokud v Ovládacím centru -> osobní firewall dám vše bez firewallu tak mi to valí. Potřeboval bych poradit, jak říci, že bez firewall to bude jen pro jeden pc s IP adresou.


: Re: Povolení IP adresy
: Peťoš September 30, 2009, 16:45:46
Jestli máš něco jako
:
             [internet]
                    |
               [router]
                /       \
[Notebook]   [Počítač]
Tak pro nastavení Firewallu na routeru se podívej do dokumentace Routeru -- na Mandriva Linuxu to nezáleží.

Pokud chceš přistupovat z jednoho počítače na druhý, musíš mít na obou puštěn SSH-démon (služba sshd ) a povoleny ve firewallu 'Server SSH'


: Re: Povolení IP adresy
: Luděk Sladký September 30, 2009, 16:52:12
Pingnout nejde, protoze mas v nastaveni firewallu odpoved na pozadavek (ping) zakazanou. Povol to, a uvidis.


: Re: Povolení IP adresy
: jan_van September 30, 2009, 16:56:52
Pingnout nejde, protoze mas v nastaveni firewallu odpoved na pozadavek (ping) zakazanou. Povol to, a uvidis.
no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...


: Re: Povolení IP adresy
: jan_van September 30, 2009, 17:04:41
Jestli máš něco jako
:
             [internet]
                    |
               [router]
                /       \
[Notebook]   [Počítač]
Tak pro nastavení Firewallu na routeru se podívej do dokumentace Routeru -- na Mandriva Linuxu to nezáleží.

Pokud chceš přistupovat z jednoho počítače na druhý, musíš mít na obou puštěn SSH-démon (služba sshd ) a povoleny ve firewallu 'Server SSH'

Přesně tak to mám... Router tomu nebrání. Když jsem upravil osobní firewall fungovalo to...


: Re: Povolení IP adresy
: Luděk Sladký September 30, 2009, 17:39:57
no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...
A proč, když v síti už žádná další zařízení nejsou?


: Re: Povolení IP adresy
: strublos September 30, 2009, 18:51:50
Vypis jako root:
iptables --list

Uvidime co dal.


: Re: Povolení IP adresy
: Ivan Bibr September 30, 2009, 20:05:43
no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...

To už tak jednoduše nepůjde - musel bys dát do blacklistu všechno a do whitelistu jen jen jeden počítač (a klikátko na nastavení to podle mne neumí). Jestli máš máš na interní síti jen jeden další stroj, je to zbytečná a nesmyslná práce navíc. Pokud na tom trváš, hledej výše uvedené nastavení *listů.


: Re: Povolení IP adresy
: Peťoš September 30, 2009, 20:38:53
To už tak jednoduše nepůjde - musel bys dát do blacklistu všechno a do whitelistu jen jen jeden počítač (a klikátko na nastavení to podle mne neumí). Jestli máš máš na interní síti jen jeden další stroj, je to zbytečná a nesmyslná práce navíc. Pokud na tom trváš, hledej výše uvedené nastavení *listů.
Budto takto, jak píše Ivan, nebo to upravit na routeru. Kazdopádně ve vnitřní síti bys měl mít pořádek a co se týká vnějšího internetu, tak tam celkem spolehlivě pomaha NAT...


: Re: Povolení IP adresy
: strublos September 30, 2009, 22:50:32
Prave pomoci iptables by to melo jit vyresit jen to chce vedet co tam ma za pravidla.


: Povolení IP adresy
: jan_van October 04, 2009, 12:45:59
Tak abych to uvedl na pravou míru. Uvedu kompletní problém.

Záměr:
Cílem je vytvořit domácí síť ze dvou počítačů (na obou Linux Mandriva 2008.1). Topologie sítě je Internet -> ADSLModem -> Router -> Notebook, PC. Účel sítě je rozdělení Internetu na oba počítače (FUNGUJE); sdílení tiskárny připojené přes USB k PC; sdílení souborů, abych viděl z jednoho na druhý;
Další předpokladem je mít počítače chráněné proti vnějším (tzn. z Internetu) útokům. Počítače v samotné síti mít chráněné nemusím pokud ochranu zastane firewall routeru pc v síti používám jen já...

Problém:
V problematice sítí tápu. Nevím kde začít. Komunikaci PC (ping-y) jsem otestoval viz výše. Samba zkouším, snažím se informovat - učit.

A teď reakce na vaše rady, připomínky.

výpis iptables --list:
Rozumím tak 1% o čem se tam píše...
:
[root@localhost janvan]# iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
Ifw        all  --  anywhere             anywhere
eth0_in    all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:INPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
eth0_fwd   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:FORWARD:REJECT:'
reject     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
eth0_out   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:OUTPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain Drop (1 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-
needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            multiport dports 13
5,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns
:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns
dpts:1024:65535
DROP       tcp  --  anywhere             anywhere            multiport dports 13
5,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain Ifw (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            set ifw_wl src
DROP       all  --  anywhere             anywhere            set ifw_bl src
IFWLOG     all  --  anywhere             anywhere            state INVALID,NEW p
sd weight-threshold: 10 delay-threshold: 10000 lo-ports-weight: 2 hi-ports-weigh
t: 1 IFWLOG prefix 'SCAN'

Chain Reject (6 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-
needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
reject     udp  --  anywhere             anywhere            multiport dports 13
5,microsoft-ds
reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns
:netbios-ssn
reject     udp  --  anywhere             anywhere            udp spt:netbios-ns
dpts:1024:65535
reject     tcp  --  anywhere             anywhere            multiport dports 13
5,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain all2fw (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:all2fw:REJECT:'
reject     all  --  anywhere             anywhere

Chain all2net (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:all2net:REJECT:'
reject     all  --  anywhere             anywhere

Chain dropBcast (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match dst-
type BROADCAST
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/4

Chain dropInvalid (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID

Chain dropNotSyn (2 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,
RST,ACK/SYN

Chain dynamic (2 references)
target     prot opt source               destination

Chain eth0_fwd (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW

Chain eth0_in (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW
net2fw     all  --  anywhere             anywhere

Chain eth0_out (1 references)
target     prot opt source               destination
fw2net     all  --  anywhere             anywhere

Chain fw2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:fw2all:REJECT:'
reject     all  --  anywhere             anywhere

Chain fw2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

Chain net2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Drop       all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref                                                                             ix `Shorewall:net2fw:DROP:'
DROP       all  --  anywhere             anywhere

Chain reject (13 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-                                                                             type BROADCAST
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-res                                                                             et
REJECT     udp  --  anywhere             anywhere            reject-with icmp-po                                                                             rt-unreachable
REJECT     icmp --  anywhere             anywhere            reject-with icmp-ho                                                                             st-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-ho                                                                             st-prohibited

Chain shorewall (0 references)
target     prot opt source               destination

Chain smurfs (0 references)
target     prot opt source               destination
RETURN     all  --  default              anywhere
LOG        all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST
LOG        all  --  BASE-ADDRESS.MCAST.NET/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
[root@localhost janvan]#



: Re: Povolení IP adresy
: Peťoš October 04, 2009, 13:12:20
Další předpokladem je mít počítače chráněné proti vnějším (tzn. z Internetu) útokům. Počítače v samotné síti mít chráněné nemusím pokud ochranu zastane firewall routeru pc v síti používám jen já...
V tom případě doporučuji zapnout NAT na routeru ( viz wikipedii). Z vnějšího internetu NIKDO neuvidi, kolik mas v NAT počítačů, nezná jejich IP -- nemá na co útočit. Pak stačí použít jen 'běžný' FW, co je v Mandriva Linuxu v MCC a povolit pouze pozadovane sluzby (jsou to ty, ktere pocitac POSKYTUJE, nikoli ke kterym pristupuje...).


: Re: Povolení IP adresy
: strublos October 05, 2009, 10:16:03
Pokud neresi problem jak uvedl petos tak zkusit jako root toto:

iptables -A INPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT
iptables -A OUTPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT


kde pc1 je aktualni stroj
totez udelat i na druhem PC (ted je aktualni ip pocitace IP_PC2)

iptables -A INPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT
iptables -A OUTPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT


pokud to bude fugovat tak pomoci service iptables save bude nastaveni ulozene a dostupne i po restartu (potreba na obou strojich)
pokud a neco by bylo spatne tak restart nebo
iptables -D INPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT
iptables -D OUTPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT


resp.
iptables -D INPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT
iptables -D OUTPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT