Názory k článku
Stavíme firewall (3)

Z meho pohledu patri tento serial k tomu nejlepsimu, co jsem na rootu kdy cetl !

Treti souvisejici odkaz smeruje na "404 - page not found"... Ale clanek je skvely :>

http://www.cs.princeton.edu/~jns/security/iptables/

Dekuji za uznani i za upozorneni

Ten limit je trochu složitější. Neznamená to (např. u toho pingu), že se odpovídá 5x za sekundu, ale že se najednou odpoví maximálně 5x a každou sekundu přibyde jedna možnost odpovědi do max. 5ti.

iptables -A INPUT -p icmp --icmp-type echo-request \
-m limit --limit 1/s --limit-burst 5 -j ACCEPT

Nekdy se nevyhody stavove filtrace nemusi ukazat jako zanedbatelne - mel jsem firewall s nekolika 100Mbitovymi porty, Celeron 266, cca 600+ pravidel, bez stavove filtrace mel 0% meritelne zateze, se stavovou filtraci naprosto nestihal routovat stavajici provoz, ktery ani zdaleka ty 100Mbitove porty nezaplnuje. Poridili jsme dual Athlon, cekam na vhodnou chvili k vyzkouseni stavove filtrace. Ale mam obavy, ze ani ted to nebude na takto velkem FW (nyni 2x 100Mbitu, 1x gigabit, 800+ pravidel) pouzitelne.

-Yenya

Diki mohu takuto dilemu asi riesa mozno 5ti ludia v celej republike ....

imho ta pravidla na omezovani syn paketu budou server blokovat a pomahat utocnikovi. co takhle zauvazovat nad syncookies?

$IPTABLES -A IN_FW -s 10.0.0.8/8 -j spoofing # ---- dtto ----

nema byt ta adresa spis 10.0.0.0/8? Pripada mi to jako preklep...

Ano, je to preklep, ale nijak zasadni, protoze 10.0.0.0/8 specifikuje stejny rozsah adres jako 10.0.0.8/8. Dulezita je pouze sitova cast adresy.

V praxi budou obe pravidla funguvat uplne stejne a bylo by je mozne zapsat, treba jako 10/8

Nevite nahodou nekdo jestli uz na 2.4.x jadre funguje to co se delalo na 2.2.x jadrach pres ipmasqadm portfw pro talk/ntalk ? kdyz sem na firewallu nastavil portforwarding pro talk na server ktery byl tim firewallem maskaradovam pak se spojeni nedokazalo nikdy korektne navazat (i kdyz "echo" o spojeni se uzivateli zebrazilo..)..(nejdriv to bude tim ze je to UDP protokol :) Proste jenom bych chtel vedet jestli forwardovani portu v maskarade na 2.4.x jadrach pro talk uz chodi v pohode nebo je s tim porad problem. Dekuji.

pouzil jsem vzorovy firewall, vse chodi, jen FTP zevnitr site jde pouze v pasivnim rezimu
nevite nekdo proc ?

A mate vytvoreny modul "ip_nat_ftp.o" pripadne zakompilovanu jeho podporu v kerneli? Ak ano zrejme nie je nahraty: "insmod ip_nat_ftp".

Ak chcete aby sa nahral vzdy pri starte pocitaca: "echo ip_nat_ftp >> /etc/modules".

nebyl nahrany, uz je
dekuji

Skvele clanky pro postaveni firewallu. Tak jsem to podle nich postavil. Jen mam trochu problem s tim, ze kdyz jsem nasadil jadro 2.4.16 nebo 2.4.17, tak se nemuzu dostat napr. na http://www.eurotel.cz, http://www.compaq.com a nektere dalsi. Pokud jsem se vratil k 2.2.20 (samozrejme s ipchains), tak to jede. Sel jsem po tom a zjistil jsem, ze ty servery nechteji prijmout SYN paket, pokud je na mem stroji jadro 2.4.16 nebo 17 . Nevite nahodou nekdo, cim to je a co nastavit, aby to jelo?

V tomto je firewall nevinně, zkuste "echo 0 >/proc/sys/net/ipv4/tcp_ecn", případně TCP Explicit Congestion Notification support úplně vyhodit z jádra. Kdysi jsem měl problém se squidem, který za nic také nemohl a pak mi v konferenci poradili toto.

Kdo ma problemy s konstrukci iptables, necht navstivi
http://www.shorewall.net
Doporucuji k prohlednuti

ja by som identd tak velmi nezvrhoval. Hlavne v pripade maskaradovych spojeni sa ho oplati vyuzivat napriklad na IRC napriklad preto aby v pripade problemov nedostala zakaz pristupu cela siet ale len dotycny vytrznik.
To iste plati o multiuser unix serveroch. Nakoniec, ak niekto identd nechce, nech si ho nenainstaluje a bude to fungovat rovnako. Davat ho explicitne do reject listu je imho hlupost.

DD,

pouzil jsem vzorovy firewall ale mam problem s FTP na nekterych sitech..

Tady je chyba kterou mi vyhodi FTP klient..

> LIST
! Socket Error: operation timed out or aborted
~ Could not retrieve directory listing for "/"
~ Disconnected

M.

Zdravím. Chtěl bych se zeptat, jak omezit ve vnitřní síti rychlost připojení k internetu přes linux. Jedná se asi o 50 PC v síti. Každé PC jednotlivě, některé sdíleně.... Díky za každou radu. Tom.

Zkus CBQ, videl jsem ho v akci a nevypada spatne, na docela slaby masine 486/100 v poho 30 lidi.

Umi to sdilene i garantovane rychlosti, rychlosti zavysle na zatizeni linky s minimalni garantovanou rychlosti, apod...
nevim jak tady na Root ale na abclinuxu jsem otom neco cetl, byl to docela dobry tutorial.

Sam se to chystam teprve na svuj Slack hodit, tak vic ti ted nepovim...

Pouzil som vzorovy firewall, vytvoril som GRE tunel medzi 2 vzdialenymi LAN ako mozem povolit tunel ked som pouzil vrorovy firewall?
s pozdravom Peter :-)

Tento firewall (s drobnými úpravami) používám už déle. Po změně linky od poskytovatele jsem však zaznamenal vysoký packetloss hned za první skok. Usuzoval jsem na problém u poskytovatele, nakonec však byl na vině firewall. Nastavení 1/s je podle mé zkušenosti příliš restriktivní. Pravděpodobně kvůli kolísající rzchlosti linky + pár dalším ICMP paketům kromě mého testovacího PINGu jsem měl PL mezi 5 a 20% ! Po mírném navýšení limitu je PL 0%.

zdravim,

potrebuji pomoc s iptables jak presmerovat prichozi traffic, ktery jde na port 80 dal na port 443.

Diky moc, jsem z toho zmatenej, vsude se tu popisuje prerouting a postrouting v NATu, ale to ja nepotrebuju, nic nenatuju. Jen ciste presmerovat tok dat z portu 80 na port 443, kdyz na ten stroj dorazi pozadavek. Diky!

Radek