FW

Sekcia: Konfigurácia 06.03 | 20:24
Avatar valgan Debian 8 jessie / amd 64  Používateľ

Ahojte,

Rad by som poprosil zdatnejsich o pomoc. Jedna sa o to ze si chcem urobit FW pomocou iptables. Napisat si jednotlive chainy nie je taky problem, ale neviem ako postupovat dalej. Postupoval som podla tohoto navodu>

https://wiki.archlinux.org/index.php/simple_stateful_firewall

Domnieval som sa,ze kedze Arch pouziva systemd, tak bude postup rovnaky.No na Debiane asi nie je.

Teda robil som toto > #iptables-save > /etc/iptables/iptables.rules -Co asi v Debiane nefunguje

Dalej som niekde cital, aby som si este nainstaloval iptables-persistent?

Cize ako postupovat,ulozit PRAVIDLA, aby sa po starte nacitali?

Dakujem za rady

    • RE: FW 06.03 | 21:13
      Avatar 7R7 Debian Stretch  Používateľ

      A tu si sa pozeral?

    • RE: FW 06.03 | 21:59
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Ano pozeral som tu stranku. Ak si urobim takyto FW script, co mam urobit, aby pri bootovani nacital pravidla.

      Predpokladam, ze by som mal urobit chmod+x FW.sh

      Ale kam mam ten FW.sh vlozit? Do /home alebo inde?

      Dakujem

    • RE: FW 07.03 | 10:03
      Avatar dexter_mh   Používateľ

      V Debiane 8 by malo fungovat:

      iptables-save > /etc/iptables/rules.v4
      ip6tables-save > /etc/iptables/rules.v6

      Potom treba nainstalovat iptables-persistent a netfilter-persistent (iptables-persistent je plugin do netfilter-persistent, takze bez neho to nebude fungovat) a firewall ti natiahne automaticky pri starte z tych suborov vyssie.

    • RE: FW 07.03 | 12:13
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Vies, mne sa viac pozdava ten skript. Viete ako ho pri starte spustit?

      Dakujem

      • RE: FW 07.03 | 18:10
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Tak by sa hodila verzia Debianu, napr cez príkaz lsb_release -a

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • RE: FW 07.03 | 20:40
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Ahoj lsb_release-a>

      
      
      No LSB modules are available.
      Distributor ID:	Debian
      Description:	Debian GNU/Linux 8.3 (jessie)
      Release:	8.3
      Codename:	jessie
      
      

      Na youtube som pozrel viac videi, ale nevsimol som si, zeby spominali kam ten skript ukladaju. Predstavujem si to teda takto>

      1.Napisem skript

      2.Niekde ho ulozim

      3.Rebootnem a mam FW aktivovany

      Dakujem

      • RE: FW 07.03 | 21:58
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Jessie ide pod systemd, tak neviem kde máš problém? Teda ak nepoužívaš moje špeciálne distro kde má systemd BAN a Lennartova prdel bude asi najbližším logom nového vydania.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • RE: FW 07.03 | 22:01
          Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

          :D +1

          Linux without fckin systemd
        • RE: FW 08.03 | 20:42
          Avatar valgan Debian 8 jessie / amd 64  Používateľ

          Ahoj,

          tak skusim este raz.Jedna sa mi o to, ze chcem tie pravidla-chainy napisat do jedneho suboru, ktory potom chmod +x

          Potom by som mal tento skript, vlozit niekam, aby mi ho pri starte nacitalo.

          Moj problem teda je,ze neviem kam ho mam ulozit.

          Skusal som sudo systemctl enable iptables.service-toto nefunguje

          Ale to je zrejme blbost?

          Inak nechcel som sa pouzivanim systemd nijak dotknut.<PS>Prosim po lopate, kedze ako som spominal nevyznam sa.Dakujem

          • RE: FW 08.03 | 22:02
            Avatar mmatko debian 8 64bit  Používateľ

            jasne... uloz si script napr. niekam do /usr adresara (alebo kam chces - do home radsej nie) a do suboru /etc/rc.local zadaj jeho cestu pre spustenie... a mas to

            man cokolvek vs. sedativa (1:0)
        • RE: FW 09.03 | 14:47
          Avatar 3xc   Návštevník
          Lennartova prdel bude asi najbližším logom nového vydania.


          :D loool +1 +Like +F**kUL3nn4rt +IHateSystemD

        • RE: FW 09.03 | 17:44
          Avatar WlaSaTy   Návštevník

          Keď som posledne skúšal uchovávanie iptables cez systemd, tak to fungovalo. Návod bol takmer identický s tým čo sa tu mihol. Bolo to ale na bubuntu ktoré je len debian v sexy bikinách. máš nejaké negatívne skúsenosti s systemd, okrem toho že je to niečo iné?

    • RE: FW 13.03 | 14:47
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Ahojte,

      tak podarilo sa mi spravit skript, ktory som si ulozil do /etc

      Potom som ako mi bolo poradene vlozil do rc.local cestu k skriptu.

      Vsimol som si ale ze pri bootovani sa stazuje na nieco v rc.lokal, ze si mam skontrolovat rc-local.servive

      Ked dam v terminali sudo systemctl status rc-local.service, tak mi vyhodi toto>

      sudo systemctl status rc-local.service
      ● rc-local.service - /etc/rc.local Compatibility
         Loaded: loaded (/lib/systemd/system/rc-local.service; static)
         Active: failed (Result: exit-code) since Sun 2016-03-13 15:33:10 EDT; 3s ago
        Process: 1176 ExecStart=/etc/rc.local start (code=exited, status=2)
      
      Mar 13 15:33:10 terranova rc.local[1176]: Bad argument `limit'
      Mar 13 15:33:10 terranova rc.local[1176]: Try `iptables -h' or 'iptables --help' for more information.
      Mar 13 15:33:10 terranova systemd[1]: rc-local.service: control process exited, code=exited status=2
      Mar 13 15:33:10 terranova systemd[1]: Failed to start /etc/rc.local Compatibility.
      Mar 13 15:33:10 terranova systemd[1]: Unit rc-local.service entered failed state.
      

      . Takze neviem, ci je FW aktivny? Ked pozriem iptables -L -v, tak mi pekne zobrazi pravidla, pri INPUTE mi zobrazuje zahodene packety.

      Viete mi poradit, co mam zle?

      Dakujem

      • RE: FW 13.03 | 15:17
        Avatar mmatko debian 8 64bit  Používateľ

        ja by som sa zameral v tvojom skripte na toto (mozno zla syntax):

        Mar 13 15:33:10 terranova rc.local[1176]: Bad argument `limit'
        Mar 13 15:33:10 terranova rc.local[1176]: Try `iptables -h' or 'iptables --help' for more information.

        man cokolvek vs. sedativa (1:0)
        • RE: FW 13.03 | 15:27
          Avatar mmatko debian 8 64bit  Používateľ

          a este pozri SEM

          man cokolvek vs. sedativa (1:0)
    • RE: FW 13.03 | 15:32
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Dakujem,

      mal si pravdu bola to zla syntax. V skripte som mal toto>

      Zrejme v tom bola chyba>

      #logy - pozri dmesg
      
      $IPT -A -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
      

      Toto som len skopiroval a neriesil som co to presne znamena, mozno mi to vies vysvetlit?

      • RE: FW 13.03 | 15:37
        Avatar mmatko debian 8 64bit  Používateľ

        az tak zbehly nie som, musel by som pozriet dokumentaciu, a to sa mi nechce :) pozri sam na

        man iptables-extensions
        man cokolvek vs. sedativa (1:0)
      • RE: FW 13.03 | 15:43
        Avatar mmatko debian 8 64bit  Používateľ

        jaj sorry, pozri "-A" - chyba ti tam chain

        man cokolvek vs. sedativa (1:0)
    • RE: FW 13.03 | 15:54
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Mal si pravdu, kukam na to a vobec ma to netrklo. Teraz je to OK.

      Este raz dakujem.

      • RE: FW 13.03 | 16:14
        Avatar mmatko debian 8 64bit  Používateľ

        rado sa stalo

        man cokolvek vs. sedativa (1:0)
      • RE: FW 13.03 | 19:27
        Avatar samalama   Návštevník

        super. takze teraz uz mas firewall, len este vediet, co vlastne robi, ze? ale aspon mozes v skole zafrajerovat, ze ten firewall mas a si zabezpeceny...

        • RE: FW 13.03 | 20:23
          Avatar valgan Debian 8 jessie / amd 64  Používateľ

          Ja netvrdim,ze som zabezpeceny proti vsetkemu.Hadam sa casom zlepsim. Akakolvek konstruktivna pomoc je vitana.

          • RE: FW 13.03 | 21:57
            Avatar samalama   Návštevník

            konstruktivnu pomoc? skor ako urobis copy&paste, tak si skus najprv zistit, co to robi...

            • RE: FW 14.03 | 11:17
              Avatar WlaSaTy   Návštevník

              Možno to bude pre Teba prekvapivé, ale vysvetlenie je obvykle na stránke odkiaľ človek čerpá informácie. V prípade potreby je k dispozícii dokonca aj strojný prekladač.

    • RE: FW 14.03 | 21:13
      Avatar valgan Debian 8 jessie / amd 64  Používateľ

      Ja som pozrel viac stranok s roznymi konfiguraciami. Kedze ako som napisal na zaciatku este v iptables nie som zbehly.Ale myslim, ze ten navod, ktory som si zobral ako vzor nie je zly.Mylim sa? Myslim, ze su tam jednotlive kroky vysvetlene.

      Zaujimal by ma vas konfig aky pozivate vy. Ak ste ochotni mohli by ste mi ho pripadne poslat na mail.

      Naozaj som zvedavy ako vyzera vas skript.Dakujem

      • RE: FW 15.03 | 08:39
        Avatar WlaSaTy   Návštevník

        Môj je že som schovaný za NAT, a PAT mi exponuje niektoré služby so internetu. Tie mám dynamicky chránené cez F2B ktorý je rozšírenou obdobou limitu pripojení z jednej adresy za časomernú jednotku. Akurát že to robí inteligentnejšie, a odchytáva len pokusy botov. Viacúrovňovo.

        A ak nevieš či pri tom zdroji príkladu čo si použil, tak smola. Ja ten príklad hľadať nebudem.

        • RE: FW 15.03 | 12:06
          Avatar valgan Debian 8 jessie / amd 64  Používateľ

          Ja som pozeral aj priklady FW na tejto stranke.Tam bolo pisane nieco v zmysle, ze je skript sice jednoduchy ale ucinny.Myslis,ze pre bezneho pouzivatela je nutny velmi komplikovany FW?

          • RE: FW 15.03 | 14:35
            Avatar WlaSaTy   Návštevník

            Bežný užívateľ neinštaluje serverové služby, a tak nepotrebuje firewall. Drobná výnimka je ak zdieľaš dáta pre ostatné počítače alebo inteligentnú telku pomocou Samba/CIFS (zdieľanie známe z Windows), ale tie porty filtrujú poskytovatelia internetu už od minulého tisícročia a ty tie dáta tým pádom zdieľaš v rámci intranetu, nie internetu. Teda, pokiaľ nie je tvojím poskytovateľom firma Jožko z garáže a jeho synovec, alebo náhodná kabeláž na intráku. A štandardne si zmenou konfigurácie neaktivuješ zdieľanie dôverných dát pre neautorizovaného užívateľa.

            A ohľadne tebou použitého príkladu, skús sa zamyslieť kto bude ten návod loviť a hádať či si si ho neohol ku svojmu obrazu. Skúsil som zadať fragment z tejto diskusie do vyhľadávača, a v tebou poskytnutej forme som ho nenašiel. Má vôbec význam tento typ diskusie keď sa pýtaš na detaily a význam niečoho čo si nešpecifikoval? Z môjho pohľadu, nemá.