Přihlásit
: [1]
   |   
: Povolení IP adresy  ( 7147 )
jan_van


« : September 30, 2009, 16:20:21 »

Ahojte, stavím si doma počítačovou síť ze dvou počítačů (NB, PC) propojovací médium je kabel (RJ-45) a prostředník router pro připojení až 4 počítačů (D-link). Na obou počítačích běží Mandriva 2008.1.

Nyní jsem ve stádiu, kdy řeším povolení IP adres ve firewall. Páč když se chci ping-nout tak mi to nic nedělá

:
[root@localhost janvan]# ping 192.168.0.101
PING 192.168.0.101 (192.168.0.101) 56(84) bytes of data.
   
               
a čekám....

, ale pokud v Ovládacím centru -> osobní firewall dám vše bez firewallu tak mi to valí. Potřeboval bych poradit, jak říci, že bez firewall to bude jen pro jeden pc s IP adresou.
Peťoš
Global Moderator
Hero Member
*****

Karma: 188
: 6 712



« #1 : September 30, 2009, 16:45:46 »

Jestli máš něco jako
:
             [internet]
                    |
               [router]
                /       \
[Notebook]   [Počítač]
Tak pro nastavení Firewallu na routeru se podívej do dokumentace Routeru -- na Mandriva Linuxu to nezáleží.

Pokud chceš přistupovat z jednoho počítače na druhý, musíš mít na obou puštěn SSH-démon (služba sshd ) a povoleny ve firewallu 'Server SSH'

Do it or do not. There is no "try".

Peťošův repozitář je na adrese: http://petos.cz/rpms
Fotoblog: http://vzducholode.blogspot.com a http://petos.cz/category/fotky
Luděk Sladký
Hero Member
*****

Karma: 4
: 1 358


« #2 : September 30, 2009, 16:52:12 »

Pingnout nejde, protoze mas v nastaveni firewallu odpoved na pozadavek (ping) zakazanou. Povol to, a uvidis.
jan_van


« #3 : September 30, 2009, 16:56:52 »

Pingnout nejde, protoze mas v nastaveni firewallu odpoved na pozadavek (ping) zakazanou. Povol to, a uvidis.
no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...
jan_van


« #4 : September 30, 2009, 17:04:41 »

Jestli máš něco jako
:
             [internet]
                    |
               [router]
                /       \
[Notebook]   [Počítač]
Tak pro nastavení Firewallu na routeru se podívej do dokumentace Routeru -- na Mandriva Linuxu to nezáleží.

Pokud chceš přistupovat z jednoho počítače na druhý, musíš mít na obou puštěn SSH-démon (služba sshd ) a povoleny ve firewallu 'Server SSH'

Přesně tak to mám... Router tomu nebrání. Když jsem upravil osobní firewall fungovalo to...
Luděk Sladký
Hero Member
*****

Karma: 4
: 1 358


« #5 : September 30, 2009, 17:39:57 »

no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...
A proč, když v síti už žádná další zařízení nejsou?
strublos
Sr. Member
****

Karma: 9
: 336



« #6 : September 30, 2009, 18:51:50 »

Vypis jako root:
iptables --list

Uvidime co dal.
Ivan Bibr
Administrator
Hero Member
*****

Karma: 52
: 3 298



« #7 : September 30, 2009, 20:05:43 »

no to mám a chci to mít a akorád bych to rád povolil pro tu jednu IP adresu...

To už tak jednoduše nepůjde - musel bys dát do blacklistu všechno a do whitelistu jen jen jeden počítač (a klikátko na nastavení to podle mne neumí). Jestli máš máš na interní síti jen jeden další stroj, je to zbytečná a nesmyslná práce navíc. Pokud na tom trváš, hledej výše uvedené nastavení *listů.

Peťoš
Global Moderator
Hero Member
*****

Karma: 188
: 6 712



« #8 : September 30, 2009, 20:38:53 »

To už tak jednoduše nepůjde - musel bys dát do blacklistu všechno a do whitelistu jen jen jeden počítač (a klikátko na nastavení to podle mne neumí). Jestli máš máš na interní síti jen jeden další stroj, je to zbytečná a nesmyslná práce navíc. Pokud na tom trváš, hledej výše uvedené nastavení *listů.
Budto takto, jak píše Ivan, nebo to upravit na routeru. Kazdopádně ve vnitřní síti bys měl mít pořádek a co se týká vnějšího internetu, tak tam celkem spolehlivě pomaha NAT...

Do it or do not. There is no "try".

Peťošův repozitář je na adrese: http://petos.cz/rpms
Fotoblog: http://vzducholode.blogspot.com a http://petos.cz/category/fotky
strublos
Sr. Member
****

Karma: 9
: 336



« #9 : September 30, 2009, 22:50:32 »

Prave pomoci iptables by to melo jit vyresit jen to chce vedet co tam ma za pravidla.
jan_van


« #10 : October 04, 2009, 12:45:59 »

Tak abych to uvedl na pravou míru. Uvedu kompletní problém.

Záměr:
Cílem je vytvořit domácí síť ze dvou počítačů (na obou Linux Mandriva 2008.1). Topologie sítě je Internet -> ADSLModem -> Router -> Notebook, PC. Účel sítě je rozdělení Internetu na oba počítače (FUNGUJE); sdílení tiskárny připojené přes USB k PC; sdílení souborů, abych viděl z jednoho na druhý;
Další předpokladem je mít počítače chráněné proti vnějším (tzn. z Internetu) útokům. Počítače v samotné síti mít chráněné nemusím pokud ochranu zastane firewall routeru pc v síti používám jen já...

Problém:
V problematice sítí tápu. Nevím kde začít. Komunikaci PC (ping-y) jsem otestoval viz výše. Samba zkouším, snažím se informovat - učit.

A teď reakce na vaše rady, připomínky.

výpis iptables --list:
Rozumím tak 1% o čem se tam píše...
:
[root@localhost janvan]# iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
Ifw        all  --  anywhere             anywhere
eth0_in    all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:INPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
eth0_fwd   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:FORWARD:REJECT:'
reject     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
eth0_out   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:OUTPUT:REJECT:'
reject     all  --  anywhere             anywhere

Chain Drop (1 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-
needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            multiport dports 13
5,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns
:netbios-ssn
DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns
dpts:1024:65535
DROP       tcp  --  anywhere             anywhere            multiport dports 13
5,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain Ifw (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            set ifw_wl src
DROP       all  --  anywhere             anywhere            set ifw_bl src
IFWLOG     all  --  anywhere             anywhere            state INVALID,NEW p
sd weight-threshold: 10 delay-threshold: 10000 lo-ports-weight: 2 hi-ports-weigh
t: 1 IFWLOG prefix 'SCAN'

Chain Reject (6 references)
target     prot opt source               destination
reject     tcp  --  anywhere             anywhere            tcp dpt:auth
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-
needed
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
dropInvalid  all  --  anywhere             anywhere
reject     udp  --  anywhere             anywhere            multiport dports 13
5,microsoft-ds
reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns
:netbios-ssn
reject     udp  --  anywhere             anywhere            udp spt:netbios-ns
dpts:1024:65535
reject     tcp  --  anywhere             anywhere            multiport dports 13
5,netbios-ssn,microsoft-ds
DROP       udp  --  anywhere             anywhere            udp dpt:1900
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain

Chain all2fw (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:all2fw:REJECT:'
reject     all  --  anywhere             anywhere

Chain all2net (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:all2net:REJECT:'
reject     all  --  anywhere             anywhere

Chain dropBcast (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match dst-
type BROADCAST
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/4

Chain dropInvalid (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID

Chain dropNotSyn (2 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,
RST,ACK/SYN

Chain dynamic (2 references)
target     prot opt source               destination

Chain eth0_fwd (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW

Chain eth0_in (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            state INVALID,NEW
net2fw     all  --  anywhere             anywhere

Chain eth0_out (1 references)
target     prot opt source               destination
fw2net     all  --  anywhere             anywhere

Chain fw2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref
ix `Shorewall:fw2all:REJECT:'
reject     all  --  anywhere             anywhere

Chain fw2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

Chain net2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB
LISHED
Drop       all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info pref                                                                             ix `Shorewall:net2fw:DROP:'
DROP       all  --  anywhere             anywhere

Chain reject (13 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-                                                                             type BROADCAST
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-res                                                                             et
REJECT     udp  --  anywhere             anywhere            reject-with icmp-po                                                                             rt-unreachable
REJECT     icmp --  anywhere             anywhere            reject-with icmp-ho                                                                             st-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-ho                                                                             st-prohibited

Chain shorewall (0 references)
target     prot opt source               destination

Chain smurfs (0 references)
target     prot opt source               destination
RETURN     all  --  default              anywhere
LOG        all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST
LOG        all  --  BASE-ADDRESS.MCAST.NET/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
[root@localhost janvan]#

Peťoš
Global Moderator
Hero Member
*****

Karma: 188
: 6 712



« #11 : October 04, 2009, 13:12:20 »

Další předpokladem je mít počítače chráněné proti vnějším (tzn. z Internetu) útokům. Počítače v samotné síti mít chráněné nemusím pokud ochranu zastane firewall routeru pc v síti používám jen já...
V tom případě doporučuji zapnout NAT na routeru ( viz wikipedii). Z vnějšího internetu NIKDO neuvidi, kolik mas v NAT počítačů, nezná jejich IP -- nemá na co útočit. Pak stačí použít jen 'běžný' FW, co je v Mandriva Linuxu v MCC a povolit pouze pozadovane sluzby (jsou to ty, ktere pocitac POSKYTUJE, nikoli ke kterym pristupuje...).

Do it or do not. There is no "try".

Peťošův repozitář je na adrese: http://petos.cz/rpms
Fotoblog: http://vzducholode.blogspot.com a http://petos.cz/category/fotky
strublos
Sr. Member
****

Karma: 9
: 336



« #12 : October 05, 2009, 10:16:03 »

Pokud neresi problem jak uvedl petos tak zkusit jako root toto:

iptables -A INPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT
iptables -A OUTPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT


kde pc1 je aktualni stroj
totez udelat i na druhem PC (ted je aktualni ip pocitace IP_PC2)

iptables -A INPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT
iptables -A OUTPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT


pokud to bude fugovat tak pomoci service iptables save bude nastaveni ulozene a dostupne i po restartu (potreba na obou strojich)
pokud a neco by bylo spatne tak restart nebo
iptables -D INPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT
iptables -D OUTPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT


resp.
iptables -D INPUT -p all -s IP_PC1 -d IP_PC2 -j ACCEPT
iptables -D OUTPUT -p all -s IP_PC2 -d IP_PC1 -j ACCEPT

: [1]
   |   
 
: