iptables problem

Sekcia: Konfigurácia 06.01.2006 | 11:51
Snowman   Návštevník
zdravim, pri tomto: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT mi to bliaka daco taketo: iptables: No chain/target/match by that name nevie niekto help? zevraj by to mohlo byt tym ze nemam v kerneli states -> ale nikde som to v jadre nenasiel...
    • Re: iptables problem 23.12.2005 | 01:41
      Avatar thefox Slackware  Používateľ

      Ak máš v kerneli zakompilovanú podporu /proc/config/gz, skús spustiť zgrep IP_NF_MATCH_STATE /proc/config.gz. Ak ti nič nenapíše, v kerneli naozaj nemáš zakompilovanú podporu matchovania stavov a nájdeš ju v Device drivers -> Networking support -> Networking options -> Nework packet filtering -> IP: Netfilter Configuration -> IP tables support -> Connection state match support.

      • skrityzujte pripadne doplnte moj firewall 06.01.2006 | 11:08
        Cv@cho   Návštevník
        zdravim vsetkych tak som sa aj ja po dlhsom case rozhodol si napisat svoj vlastny firewall cez IPTABLES preto prosim vsetkych ktory sa tejto problematike venuju nech skritizuju moj prvy firewall jeho ulohou je chranit moju siet s adresami 192.168.1.xxx pred Internetom , teda vo vnutri siete je dovolene vsetko a naopak zvonka nie je pristupne nic preto Vas prosim o skrityzovanie pripadne doplnenie mojho firewallu za odpovede vopred Dakujem ----------------------------------------------------------------------------------------------------- echo "1" > /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -N fromin iptables -N fromout #pakety podla toho, ci prichadzaju z vnutornej siete "fromin" alebo z vonkajsej siete "fromout" #++++++++++VNUTORNA SIET++++++++++ iptables -A fromin -s 192.168.1.0/16 -d 192.168.1.0/16 -j ACCEPT #povoli vsetky protokoly vo vnutri siete iptables -P FORWARD DROP #zakazem vsetko ostatne vo vnutri siete iptables -I FORWARD -d 192.168.1.0/8 -o eth1 -j DROP #aby nam nahodou do uplinkoveho interacu neunikli nase privatne IP iptables -A INPUT -p udp -s 127.0.0.1 --dport 161 -j ACCEPT iptables -A INPUT -p udp -s 0/0 --dport 161 -j REJECT #zakazanie monitoringu mimo privatnych IP adries #++++++++++VONKAJSIA SIET++++++++++ iptables -A fromout -m state --state ESTABLISHED -j ACCEPT #povoli vsetky pakety patriace k uz existujucim spojeniam; tentokrat vsak pre vonkajsie rozhranie} iptables -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -j fromin #rozdelime sietovu prevadzku do retazi "fromin" a "fromout" podla toho, z ktorych adries pochadzaju pakety iptables -A INPUT -s ! 192.168.1.0/255.255.255.0 -i eth1 -j fromout #rozdelime sietovu prevadzku do retazi "fromin" a "fromout" podla toho, z ktorych adries pochadzaju pakety iptables -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth1 -j ACCEPT #umoznime paketom z vnutornej siete dostat sa na vonkajsiu siet, a teda aplikacie vo vnutornej sieti budu moct komunikovat s Internetom na lubovolnych portoch iptables -A FORWARD -s ! 192.168.1.0/255.255.255.0 -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT #povoli odpovede na pakety, ktore pochadzaju z nasej siete iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE #preklad adries z vnutornej siete smerom von: pakety sa budu tvarit, ako keby odchadzali priamo z vonkajsieho sietoveho rozhrania eth1 echo "Pravidla Cvachovho Firewallu zavedene..."
        • Re: skrityzujte pripadne doplnte moj firewall 06.01.2006 | 11:51
          puco   Návštevník
          Myslim, ze tu by ste mohli najst nejaku inspiraciu. http://www.abclinuxu.cz/ucebnice/zaklady/sit/bezpecnost