Vissza akarom allitani a standard viselkedeset (a default policy ACCEPT). Hogyan lehet? -- Gabor HALASZ <halasz.g@freemail.hu>
On Tue, 2009-01-27 at 15:03 +0100, Gabor HALASZ wrote:
Vissza akarom allitani a standard viselkedeset (a default policy ACCEPT). Hogyan lehet?
ha kezzel akarod, akkor az /etc/iptables.conf-ban at tudod irni. egyebkent pedig fel tudsz venni egy ACCEPT szabalyt a chain vegere. -- Bazsi
Balazs Scheidler wrote:
On Tue, 2009-01-27 at 15:03 +0100, Gabor HALASZ wrote:
Vissza akarom allitani a standard viselkedeset (a default policy ACCEPT). Hogyan lehet?
ha kezzel akarod, akkor az /etc/iptables.conf-ban at tudod irni. egyebkent pedig fel tudsz venni egy ACCEPT szabalyt a chain vegere.
Nem ez a gondom, valamit ki akartam probalni, ezert letiltottam az iptables scripteket, majd ellenorzeskeppen azt mondtam, hogy iptables -L es mar ki is zartam magam a gepbol. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, Jan 28, 2009 at 09:53:51AM +0100, Gabor HALASZ wrote:
Nem ez a gondom, valamit ki akartam probalni, ezert letiltottam az iptables scripteket, majd ellenorzeskeppen azt mondtam, hogy iptables -L es mar ki is zartam magam a gepbol.
mar regen kerult be a zorpos kernelekbe a default DROP, egy kernel patch altal igy egy boot utan automatikusan DROP a default policy, mar az init scriptek futasa elott ha forditasz egy uj kernelt es az emlitett patch-et nem alkalmazod, akkor nyilvan visszavalt a mukodes a hagyomanyos modra ugy emlekszem mar zorpos 3.1-tol letezik egy modul parameter erre, amivel kulturaltabban lehet ezen feature mukodeset szabalyozni (bar a gyakorlatban ez soha nem okozott gondot) konkretabban, pl. ebben a patchben: kernel-patchtree-2.6.17-zorpos/130_netfilter_filter_default_drop.patch ... +static int defaultdrop = 1; +module_param(defaultdrop, int, 0400); ... -- lajjan
Lajos Janos wrote:
On Wed, Jan 28, 2009 at 09:53:51AM +0100, Gabor HALASZ wrote:
Nem ez a gondom, valamit ki akartam probalni, ezert letiltottam az iptables scripteket, majd ellenorzeskeppen azt mondtam, hogy iptables -L es mar ki is zartam magam a gepbol.
mar regen kerult be a zorpos kernelekbe a default DROP,
Regen nem hasznaltam zorpos kernelt...
egy kernel patch altal igy egy boot utan automatikusan DROP a default policy, mar az init scriptek futasa elott
Ennek semmi ertelmet nem latom.
ugy emlekszem mar zorpos 3.1-tol letezik egy modul parameter erre, amivel kulturaltabban lehet ezen feature mukodeset szabalyozni (bar a gyakorlatban ez soha nem okozott gondot) konkretabban, pl. ebben a patchben:
A module parameter nekem is eszembe jutott, mint kezenfekvo megoldas, de nem. # modinfo kzorp filename: /lib/modules/2.6.17-zorpos-4-386/kernel/net/netfilter/kzorp.ko description: kzorp core author: Krisztian Kovacs <hidde@balabit.hu> license: GPL vermagic: 2.6.17-zorpos-4-386 SMP mod_unload 386 REGPARM gcc-3.4 depends: ip_conntrack,ip_nat,iptable_nat srcversion: F52C32CFBCC56A99236EF14
kernel-patchtree-2.6.17-zorpos/130_netfilter_filter_default_drop.patch
... +static int defaultdrop = 1; +module_param(defaultdrop, int, 0400); ...
Igen, ezt az eljarast akartam meguszni. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, Jan 28, 2009 at 10:18:03AM +0100, Gabor HALASZ wrote:
# modinfo kzorp filename: /lib/modules/2.6.17-zorpos-4-386/kernel/net/netfilter/kzorp.ko description: kzorp core author: Krisztian Kovacs <hidde@balabit.hu> license: GPL vermagic: 2.6.17-zorpos-4-386 SMP mod_unload 386 REGPARM gcc-3.4 depends: ip_conntrack,ip_nat,iptable_nat srcversion: F52C32CFBCC56A99236EF14
no jo helyen keresed, a modul neve iptable_filter # modinfo iptable_filter filename: /lib/modules/2.6.22-zorpos-1-amd64-xeon/kernel/net/ipv4/netfilter/iptable_filter.ko description: iptables filter table author: Netfilter Core Team <coreteam@netfilter.org> license: GPL srcversion: 5C184F0EAA13AE448EF47E3 depends: vermagic: 2.6.22-zorpos-1-amd64-xeon SMP mod_unload parm: defaultdrop:int -- lajjan
Lajos Janos wrote:
On Wed, Jan 28, 2009 at 10:18:03AM +0100, Gabor HALASZ wrote:
# modinfo kzorp filename: /lib/modules/2.6.17-zorpos-4-386/kernel/net/netfilter/kzorp.ko description: kzorp core author: Krisztian Kovacs <hidde@balabit.hu> license: GPL vermagic: 2.6.17-zorpos-4-386 SMP mod_unload 386 REGPARM gcc-3.4 depends: ip_conntrack,ip_nat,iptable_nat srcversion: F52C32CFBCC56A99236EF14
no jo helyen keresed, a modul neve iptable_filter
Ah, kosz. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, 2009-01-28 at 10:18 +0100, Gabor HALASZ wrote:
Lajos Janos wrote:
On Wed, Jan 28, 2009 at 09:53:51AM +0100, Gabor HALASZ wrote:
Nem ez a gondom, valamit ki akartam probalni, ezert letiltottam az iptables scripteket, majd ellenorzeskeppen azt mondtam, hogy iptables -L es mar ki is zartam magam a gepbol.
mar regen kerult be a zorpos kernelekbe a default DROP,
Regen nem hasznaltam zorpos kernelt...
egy kernel patch altal igy egy boot utan automatikusan DROP a default policy, mar az init scriptek futasa elott
Ennek semmi ertelmet nem latom.
ICSA kovetelmeny. Boot utan egy ures konfiggal rendelkezo gepen sem lehet forgalom atengedve. Mivel normal esetben amugy is feljon boot kozben a csomagszuro, es mivel a default csomagszuro config amugy is DROP-ra allitja, akkora problemat en legalabbis nem lattam benne. -- Bazsi
Balazs Scheidler wrote:
egy kernel patch altal igy egy boot utan automatikusan DROP a default policy, mar az init scriptek futasa elott Ennek semmi ertelmet nem latom.
ICSA kovetelmeny. Boot utan egy ures konfiggal rendelkezo gepen sem lehet forgalom atengedve.
Az icsa kovetelmenyeket nem tudom (bar az ures konfig definicion jot lehet filozofalni, mert akkor halozat sincs, de ezt hagyjuk :); arra gondoltam, hogy netfilter szabalyokat a halozati interfacek aktivalasa elott is be lehet allitani. Ha ki lehet kapcsolni (csak rossz helyen neztem), akkor tultargyalva a kerdes. ps A /proc/sys/net/ipv4/conf/default/forwarding default 0, legalabbis a zorp-os kernelben :) -- Gabor HALASZ <halasz.g@freemail.hu>
participants (3)
-
Balazs Scheidler
-
Gabor HALASZ
-
Lajos Janos