[zorp-hu] Kiakadas
Balazs Scheidler
bazsi@balabit.hu
Tue, 23 Jan 2001 11:53:54 +0100
> > szerintem a cel szerint kellene szurnod. tehat ha az 50080-ra redirectalod a
> > 80-os port forgalmat, akkor
> > ipchains -A input -i ethX -p tcp -d <tuzfalipcime> 50080 -j DENY
>
> A mellekelt firewall.sh fajlban megtalalhato amivel az
> ipchains-t beallitom, es mellette az nmap 192.168.2.1
> parancsra generalt syslog. Egyebkent az nmap hibauzenet
> nelkul ter vissza, megmutatja a 2021-es es a 3128-as porton
> csucsulo dolgokat. A Zorp konfigja ugyanaz, ami az elozo
> levelemben szerepelt. Mi a problema? Ha nem illik ilyen
> leveleket kuldeni a listara (csatolt fajl, meret, stb. miatt),
> akkor kaphatnek egy cimet, ahol jelezhetem az ilyen jellegu
> gondjaimat?
syslog-ot lehetoleg ne kuldj a listara, foleg ha ilyen nagy. a problema
amugy meg mindig ugyanaz, a 2021-es portra lehet kozvetlenul csatlakozni.
# A tuzfal belso halo feloli laba: 192.168.2.1 eth0
# A tuzfal DMZ feloli laba: 192.168.1.1 eth1
# A tuzfal internet feloli laba: 192.168.0.50 eth2
# A bi_http szolgaltatas miatt szukseges. Forras: policy-web.py
# A belso halorol az internet elerese http-n keresztul
ipchains -A input -p tcp -i eth0 -s 192.168.2.0/24 -d 0/0 80 -j REDIRECT 3128
ipchains -A input -p tcp -i eth0 -d 192.168.2.1 3128 -j DENY
# A bi_ftp szolgaltatas miatt szukseges. Forras: policy-web.py
# A belso halorol az internet elerese ftp-n keresztul
ipchains -A input -p tcp -i eth0 -s 192.168.2.0/24 -d 0/0 21 -j REDIRECT 2021
ipchains -A input -p tcp -i eth0 -s 192.168.2.0/24 -d 0/0 1024: -j REDIRECT 0
--> ipchains -A input -p tcp -i eth0 -d 192.168.2.1 2021 -j DENY
ipchains -A input -p tcp -i eth0 -d 192.168.2.1 0 -j DENY
a megjelolt rule-od tulzottan az input chain vegen van. elobbre kell tenni.
illetve a REDIRECT 0-t is csak a _nem_ tuzfalnak szolo IP-kre kell
megcsinalni. A legjobb, ha iranyok szerint szetszeded az ipchains-t.
--
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
url: http://www.balabit.hu/pgpkey.txt