|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Osiris
HV Guru
liitunud: 12.08.2002
|
12.12.2014 12:30:47
Ipfilter reeglid |
|
|
Tervitus.
Selline segane asi:
Tegin reegli kus luban teatud masinast teatud kohta SSH
pass in quick on em0 proto tcp from 192.168.0.2 mask 255.255.255.0 port = 22 to 192.168.5.8 mask 255.255.255.0 port = 22
|
Vaatasin webminis ipfilter reeglit: andis sellise vea:
error parsing IPF line pass in quick on em0 inet proto tcp from 192.168.0.0/16 port = ssh to 192.168.5.0/24 port = ssh at inet line 1 : remainder inet proto tcp from 192.168.0.0/16 port = ssh to 192.168.5.0/24 port = ssh
|
Kas webmin ajab lihtsalt jama või ongi reegel vigane? Ipfilter logi ütleb sedasi:
Dec 12 10:40:43 masin2 ipmon[454]: missed 1 ipf log entries: 0 1
|
|
|
| Kommentaarid: 115 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
103 |
|
| tagasi üles |
|
 |
heikis
HV Guru
liitunud: 17.03.2003
|
|
12.12.2014 14:16:07
|
|
|
mask on sul vale, kui tahad teha reeglit kahe kindla hosti vahel.
ja oled kindel, et port on sul õige? source port võiks olla määramata, destination peaks jah olema 22.
proovi näiteks nii:
| pass in quick on em0 proto tcp from 192.168.0.2 to 192.168.5.8 port = 22 |
või kui tahad mingil põhjusel maski ka kirja panna, siis ehk töötab ka kujul:
| pass in quick on em0 proto tcp from 192.168.0.2/32 to 192.168.5.8/32 port = 22 |
või
| pass in quick on em0 proto tcp from 192.168.0.2 mask 255.255.255.255 to 192.168.5.8 mask 255.255.255.255 port = 22 |
|
|
| Kommentaarid: 338 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
4 :: |
290 |
|
| tagasi üles |
|
|
Osiris
HV Guru
liitunud: 12.08.2002
|
|
13.12.2014 13:06:08
|
|
|
Proovin järele. Tänud. Äkki tõesti näpukas sees.
EDIT: Tundub, et nüüd toimib. Huvitav, et kui source pordi ära määran - ei meeldi talle see üldse. Ilma selleta korras.
|
|
| Kommentaarid: 115 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
103 |
|
| tagasi üles |
|
|
heikis
HV Guru
liitunud: 17.03.2003
|
|
13.12.2014 13:17:01
|
|
|
| PCman kirjutas: |
Proovin järele. Tänud. Äkki tõesti näpukas sees.
EDIT: Tundub, et nüüd toimib. Huvitav, et kui source pordi ära määran - ei meeldi talle see üldse. Ilma selleta korras. |
ja maski jätsid samaks /24 ? sel juhul on ilmselt nii, et reegel kehtib kogu subnetile mitte konkreetse hosti kohta.
|
|
| Kommentaarid: 338 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
4 :: |
290 |
|
| tagasi üles |
|
|
Dogbert
HV Guru
liitunud: 03.05.2004
|
|
13.12.2014 13:30:49
|
|
|
Mis mõttes ei meeldi, kui source on määratud? Ma saaksin aru, kui sinna reegli pihta lihtsalt kunagi midagi ei jõua, sest source port valitakse tavaliselt suvaline ja iga kord erinev, aga iptables peaks selle reegli alla neelama küll. Vist...
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
| tagasi üles |
|
|
Osiris
HV Guru
liitunud: 12.08.2002
|
|
13.12.2014 14:26:27
|
|
|
Njah - peale restarti seis täpselt sama.
Reegliks on
pass in quick on em0 proto tcp from 192.168.0.2/32 to 192.168.5.8/32 port = 22
|
Vastuseks saan webminis:
error parsing IPF line pass in quick on em0 inet proto tcp from 192.168.0.2/32 to 192.168.5.8/32 port = ssh at inet line 1 : remainder inet proto tcp from 192.168.0.2/32 to 192.168.5.8/32 port = ssh
|
Asi toimis - nii kui masinale restardi tegin oli vana häda tagasi.
Kasutan FreeBSD 10.1-e. Kui kunagi oli ka vaja tulemüüriga tegeleda kasutasin rc.firewall-i skripti.
Sama teate annab ta ka siis kui webmini enda wizardiga see reegel luua.
Võibolla teen ma midagi totaalselt valesti või ei saa ka õieti aru?
|
|
| Kommentaarid: 115 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
103 |
|
| tagasi üles |
|
|
Helseth
HV kasutaja
liitunud: 05.01.2012
|
|
13.12.2014 20:23:19
|
|
|
Ei ole Iptablesiga otseselt kokku puutunud, aga äkki tahab ta mingit "permanent" parameetrit juurde saada?
Praegu tundub, et reegel luuakse seniks kuni teenus taaskäivitatakse.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
aht0
HV veteran
liitunud: 14.10.2003
|
|
15.12.2014 23:48:27
|
|
|
kui muidu ei saa siis võid proovida http://www.fwbuilder.org/
| PCman kirjutas: |
Proovin järele. Tänud. Äkki tõesti näpukas sees.
EDIT: Tundub, et nüüd toimib. Huvitav, et kui source pordi ära määran - ei meeldi talle see üldse. Ilma selleta korras. |
source porti ära määra, üldjuhul on see pakette saatval masinal suht suvakas (any), paika pane ainult destination port (mis on siis sinu masina sihtport)
|
|
| Kommentaarid: 82 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
71 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
