[opensuse-hu] iptables kérdés
Üdvözlök mindenkit! Most kezdtem el ismerkedni az iptables-el pár napja. Lassal úgy érzem elég jó lesz a mindennapi használatra, de azért nyugtalanít, hogy nagyon tapasztalatlan vagyok ebben a témában. Nemtudom, hogy biztos loggolok e minden fontos dolgot és nemtudom hagytam e ki valami fontosat belőle. Persze neten is keresgéltem scripteket, de igyekeztem 100%-ig magam megcsinálni. Kérdésem. Mi alapján dönthetem el, hogy már tényleg kész a tűzfal és jó és biztonságos? Esetleg bemásolhatom ide? Köszönöm a válaszolat. Üdv: Budácsik Attila
On Fri, Jun 30, 2006 at 8:55 AM, in message <20060630065544.EWVC17831.viefep14-int.chello.at@budacsik>, "Budacsik Attila"
wrote: Üdvözlök mindenkit! Most kezdtem el ismerkedni az iptables- el pár napja. Lassal úgy érzem elég jó lesz a mindennapi használatra, de azért nyugtalanít, hogy nagyon tapasztalatlan vagyok ebben a témában. Nemtudom, hogy biztos loggolok e minden fontos dolgot és nemtudom hagytam e ki valami fontosat belőle. Persze neten is keresgéltem scripteket, de igyekeztem 100%- ig magam megcsinálni.
Kérdésem. Mi alapján dönthetem el, hogy már tényleg kész a tűzfal és jó és biztonságos?
Olyan tűzfal, ami teljesen jó és kész, olyan nincs. Azt kell mérlegelni, hogy milyen szolgáltatásokat vársz el a tűzfaladtól és azokat teljesíti-e. Szóval neked megfelel-e. Ezt neked kell tudnod.
Esetleg bemásolhatom ide?
Hogyha nem túl hosszú és könnyen olvasható, akkor nyugodtan. Röviden tudjuk elemezni. hogy mit lehetne/kellene változtatni rajta. Üdvözlettel, Papp Zsolt --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. június 30. 12.24 dátummal Zsolt Papp ezt írta:
Esetleg bemásolhatom ide?
Hogyha nem túl hosszú és könnyen olvasható, akkor nyugodtan. Röviden tudjuk elemezni. hogy mit lehetne/kellene változtatni rajta.
Üdvözlettel, Papp Zsolt
Köszönöm, hát a rövidségre hivatkozva az iptables-save eredményét tenném be ide, gondolom nektek comment úgyse kell :), a filter policy-k = DROP Nem is tudom írtam e, ez most az otthoni gépemen megy, tehát nem szerver gép, szolgáltatásokat nem nyújtok sehová. Az 1863-as port = msn(gaim) és a 264 pedig a novell-zen. -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j accept_icmp -A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW -j accept_icmp -A INPUT -d 255.255.255.255 -j DROP -A INPUT -d 224.0.0.0/255.0.0.0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j in_attack -A INPUT -s 172.16.0.0/255.255.0.0 -i eth0 -j in_attack -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j in_attack -A INPUT -p tcp -m tcp --dport 22 -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ssh_be_tiltva: " -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 255.255.255.255 -j DROP -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m multiport --dports 21,22,25,80,110,443,1863,2544,6667 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "DROP_OUT_PACK: " -A OUTPUT -j DROP -A accept_icmp -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "beengedett_ping: " -A accept_icmp -j ACCEPT -A in_attack -j LOG --log-prefix "in_attack: " -A in_attack -j DROP Szerintetek?? -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Szia, Ha ugy erzed kesz vagy a konfiguralassal, akkor hasznald a wigvam-ot, vagy valamelyik port scanner-t (pl. nmap). Azok megmondjak mi van nyitva, hol torheto a geped... :-) Udv, Emeric 2006. június 30. 08.55 dátummal Budacsik Attila ezt írta:
Üdvözlök mindenkit!
Most kezdtem el ismerkedni az iptables-el pár napja. Lassal úgy érzem elég jó lesz a mindennapi használatra, de azért nyugtalanít, hogy nagyon tapasztalatlan vagyok ebben a témában. Nemtudom, hogy biztos loggolok e minden fontos dolgot és nemtudom hagytam e ki valami fontosat belőle. Persze neten is keresgéltem scripteket, de igyekeztem 100%-ig magam megcsinálni.
Kérdésem. Mi alapján dönthetem el, hogy már tényleg kész a tűzfal és jó és biztonságos?
Esetleg bemásolhatom ide?
Köszönöm a válaszolat.
Üdv:
Budácsik Attila
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
http://wigwam.sztaki.hu Üdv. Gábor Tóth Imre írta:
Ha ugy erzed kesz vagy a konfiguralassal, akkor hasznald a wigvam-ot, vagy valamelyik port scanner-t (pl. nmap). Azok megmondjak mi van nyitva, hol torheto a geped... :-)
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. június 30. 13.08 dátummal Gabor Boros ezt írta:
Üdv. Gábor
Ez okosabb mint az nmap :) A teszt eredménye csak a 22-es port válaszol és nyitva van, a többi zárva. Akkor ez így jó is? Ettől már meg lehet nyugodni? -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
A 22-es az ssh alapértelmezett portja. Amennyiben nem akarsz távolról belépni akkor ne hagyd nyitva. Direkt csinálod "kézzel"? Pl. a SUSE-ban ott van SuSEfirewall2, szerintem mindent meg lehet vele oldani, legalábbis nekem eddig még sikerült. Üdv. Gábor budacsik attila írta:
2006. június 30. 13.08 dátummal Gabor Boros ezt írta:
Üdv. Gábor
Ez okosabb mint az nmap :) A teszt eredménye csak a 22-es port válaszol és nyitva van, a többi zárva. Akkor ez így jó is? Ettől már meg lehet nyugodni?
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. június 30. 13.59 dátummal Gabor Boros ezt írta:
A 22-es az ssh alapértelmezett portja. Amennyiben nem akarsz távolról belépni akkor ne hagyd nyitva.
Direkt csinálod "kézzel"? Pl. a SUSE-ban ott van SuSEfirewall2, szerintem mindent meg lehet vele oldani, legalábbis nekem eddig még sikerült.
Üdv. Gábor Igen, direkt csináltam kézzel, hogy megtanuljam, tujajdonképpen, így hamaram megértem mintha csak olvasgatnék róla. Hogy kell használni a SuSEfirewall2-t? Vagy ez az lenne amikor a YaST-ban be lehet állítani a tűzfalat? Erre gondolsz? Az tényleg jó, de nekem valamiért jobb érzés. Nem is tudom miért. Valaki védjen meg.
Ott a logolást is be lehet állítani? -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Igen a YaST-ban is lehet állítani, de én személy szerint az /etc/sysconfig/SuSEfirewall2 fájlt szoktam matatni. Egyáltalán nem szorulsz védelemre, csak gondoltam megemlítem, hogy ilyen is van. Én azért szeretem, mert egyszerű a használata, a dolgok nagy részét (kevés kivíteltől eltekintve) elintézi helyetted. Mondjuk én is jobban szeretem magam kitalálni a dolgokat, mert ha már egyszer sikerült akkor onnantól kezdve máskor is menni fog. Meg van sikerélménye az embernek. Amit nagyon szeretek a Linuxban, hogy szövegfájlok szerkesztésével lehet állítgatni mindent. Amikor pedig egy már működő rendszeren kellene valami újat beállítani akkor csak egyszerűen elmentem az adott konfig fájlt, vagy az egész /etc könyvtárat és kész. Probléma esetén simán vissza lehet állni a korábbi állapotra. Üdv. Gábor budacsik attila írta:
2006. június 30. 13.59 dátummal Gabor Boros ezt írta:
A 22-es az ssh alapértelmezett portja. Amennyiben nem akarsz távolról belépni akkor ne hagyd nyitva.
Direkt csinálod "kézzel"? Pl. a SUSE-ban ott van SuSEfirewall2, szerintem mindent meg lehet vele oldani, legalábbis nekem eddig még sikerült.
Üdv. Gábor Igen, direkt csináltam kézzel, hogy megtanuljam, tujajdonképpen, így hamaram megértem mintha csak olvasgatnék róla. Hogy kell használni a SuSEfirewall2-t? Vagy ez az lenne amikor a YaST-ban be lehet állítani a tűzfalat? Erre gondolsz? Az tényleg jó, de nekem valamiért jobb érzés. Nem is tudom miért. Valaki védjen meg.
Ott a logolást is be lehet állítani?
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. június 30. 20.23 dátummal Gabor Boros ezt írta:
Igen a YaST-ban is lehet állítani, de én személy szerint az /etc/sysconfig/SuSEfirewall2 fájlt szoktam matatni. Egyáltalán nem szorulsz védelemre, csak gondoltam megemlítem, hogy ilyen is van. Én azért szeretem, mert egyszerű a használata, a dolgok nagy részét (kevés kivíteltől eltekintve) elintézi helyetted. Mondjuk én is jobban szeretem magam kitalálni a dolgokat, mert ha már egyszer sikerült akkor onnantól kezdve máskor is menni fog. Meg van sikerélménye az embernek.
Amit nagyon szeretek a Linuxban, hogy szövegfájlok szerkesztésével lehet állítgatni mindent. Amikor pedig egy már működő rendszeren kellene valami újat beállítani akkor csak egyszerűen elmentem az adott konfig fájlt, vagy az egész /etc könyvtárat és kész. Probléma esetén simán vissza lehet állni a korábbi állapotra.
Üdv. Gábor
Ezaz, a sikerélmény ami a legjobban vonzott a Linuxhoz. Windows-ban nem sok volt :) Viszont ez a /etc mentése és visszaállítása már egy másik fontos dolgot vet fel bennem, mégpedig a bacup-ot. Egy fórumon már kérdeztem, hogy ha egy szerver /etc mappályát hetente backup-olom és egy reinstall után visszaírom a régi /etc full, akkor az úgy működik is? Erre az igen választ kaptam, de valamiért nehzen hiszem el. Jó persze ugyan azokat a programokat fel kell telepíteni. De biztos működik? Véleményem szerint elég lenne csak a változtatandó konf. fájlokat menteni majd azokat visszaírni. A /etc/sysconfig/SuSEfirewall2 fájlt megnézem én is azért. Még egy kérdés. Hogy oldjam meg, hogy rendszerindításkor már CSAK az én szkriptem induljon el? Láttam, hogy a Yast-ban ki lehet kapcsolni a suse tűzfalát, de hogy érjem el, hogy az enyém lépjen életbe? A /etc/boot.local-ba kell egy elérési út neki? budacsik --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Nem árt lementeni az egész etc-t nehogy kimaradjon valami. Én sem írnám felül az egész könyvtárat. Elég azt a pár fájlt visszamásolni amit éppen szükséges. Pl. ha Samba futott a gépen, és mondjuk nincsenek különböző felhasználók, hanem mindenki hozzáfér mindenhez, akkor csak visszamásolod az adatokat a régi helyükre, visszaállítod az smb.conf-ot a mentésből, és minden megy is tovább. Perzse előtte a gép nevét, a hálózatot, stb-t be kell állítani. Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. Azért javítsatok ki, ha hülyeségeket beszélek ;-) Jó hétvégét Mindenkinek! Üdv. Gábor budacsik attila írta:
Ezaz, a sikerélmény ami a legjobban vonzott a Linuxhoz. Windows-ban nem sok volt :) Viszont ez a /etc mentése és visszaállítása már egy másik fontos dolgot vet fel bennem, mégpedig a bacup-ot. Egy fórumon már kérdeztem, hogy ha egy szerver /etc mappályát hetente backup-olom és egy reinstall után visszaírom a régi /etc full, akkor az úgy működik is? Erre az igen választ kaptam, de valamiért nehzen hiszem el. Jó persze ugyan azokat a programokat fel kell telepíteni. De biztos működik? Véleményem szerint elég lenne csak a változtatandó konf. fájlokat menteni majd azokat visszaírni.
A /etc/sysconfig/SuSEfirewall2 fájlt megnézem én is azért. Még egy kérdés. Hogy oldjam meg, hogy rendszerindításkor már CSAK az én szkriptem induljon el? Láttam, hogy a Yast-ban ki lehet kapcsolni a suse tűzfalát, de hogy érjem el, hogy az enyém lépjen életbe? A /etc/boot.local-ba kell egy elérési út neki?
budacsik
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. július 1. 06.52 dátummal Gabor Boros ezt írta:
Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni? ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/firewall.sh és ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/firewall.sh ? Egyszer a pure-ftpd-nél kellet ezt csinálnom, ott így kellett.
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni?
Erre valo a "runlevel editor" vagy magyarul a "futasiszint szerkeszto". Az megcsinal mindent szepen magatol... {asm} --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
budacsik attila írta:
2006. július 1. 06.52 dátummal Gabor Boros ezt írta:
Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni? ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/firewall.sh és ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/firewall.sh ?
Igen, pl. így, de ajánlom figyelmedbe az /etc/init.d/README fájlt.
Egyszer a pure-ftpd-nél kellet ezt csinálnom, ott így kellett.
Üdv. Gábor --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. 07. 1, szombat keltezéssel 09.04-kor budacsik attila ezt írta:
2006. július 1. 06.52 dátummal Gabor Boros ezt írta:
Ezek szerint eddig futott a SuSEfirewall2-is? Szerintem az /etc/init.d-be tedd a szkriptedet és csinálj neki symlinket(szimlinket?) attól függően, hogy melyik futási szinten szeretnéd ha elindulna. A szimlinket a /etc/init.d/rc5.d és /etc/init.d/rc3.d mappába kell tenni akkor ha jól értelmezem, csak még ide nem nyúltam bele soha. A szmilinket így kell létrehozni? ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/firewall.sh és ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/firewall.sh ? Egyszer a pure-ftpd-nél kellet ezt csinálnom, ott így kellett. A linkelt szkript neve elé kell egy szám is, így a szkript utoljára fog elindulni, pedig pl a network és az apacs közé kellene tenni :)
A chkconfig paranccsal állíthatod be, hogy egy "service" induljon-e, vagy sem. Ez pont ugyanazt csinálja, mint a YaST futásiszint szerkesztője. Azért írom ezt, mert úgy érzem, hogy kicsit távol tartod magad a YaSTtól. Hogyha írsz egy saját indítószkriptet, akkor éredemes megcsinálni rendesen: /etc/init.d/skeleton. Hogyha megcsinálod a headert (BEGIN INIT INFO) is, akkor azt a szkriptet is tudod kapcsolgatni a chkconfig paranccsal. A kézzel való linkelést azért nem ajánlom, mert a YaST vagy a chkconfig pl átrendezi az indulási sorrendet, hogyha nincs rendes init info a szkriptedben. Papp Zsolt --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
> A linkelt szkript neve elé kell egy szám is, így a szkript utoljára fog > elindulni, pedig pl a network és az apacs közé kellene tenni :) Köszi, igen erre rájöttem amikor belenéztem az rc5.d könyvtárba. > A chkconfig paranccsal állíthatod be, hogy egy "service" induljon-e, > vagy sem. Ez pont ugyanazt csinálja, mint a YaST futásiszint > szerkesztője. Azért írom ezt, mert úgy érzem, hogy kicsit távol tartod > magad a YaSTtól. Jól észrevetted, mert nem csak megcsinálni akarom, hanem érteni is természetesen. Sajnos már a YaST szerkesztőjével csináltam meg :(, és nem is tudom pontosan mit csinált. Elmondom én mit tettem előtte. 1. Létrehoztam a firewall.sh szkriptet a /root/bin mappába 2. készítettem egy firewall nevő szkriptet a /etc/init.d mappába a SuSefirewall2 alapján. Íme: #!/bin/bash FIREWALL="/root/bin/firewall.sh" case "$1" in start) echo "Budacsik firewall start ..." $FIREWALL -q start ;; stop) echo "Budacsik firewall stop ..." $FIREWALL -q stop ;; restart) $FIREWALL -q stop $FIREWALL -q start ;; status) echo "Budacsik firewall check ..." iptables -L ;; * ) echo "Use: $1 {start|stop|restart|status}" ;; esac Jobbat nem tudok, ennyit értek hozzá. 3. a szilinket megcsináltam, és elvileg jó lett, de automatikusan nem indult. 4. Ekkor a yast-ban beállítottam a 2 3 5-ös-re, hogy induljon el és mostmár megy. De mt csinált a yast amit én nem? > Hogyha írsz egy saját indítószkriptet, akkor éredemes megcsinálni > rendesen: /etc/init.d/skeleton. Hogyha megcsinálod a headert (BEGIN INIT > INFO) is, akkor azt a szkriptet is tudod kapcsolgatni a chkconfig > paranccsal. Igen, a skeletont közben megtaláltam és nézegetem is, de nem értek belőle dolgokat, például: # Check for missing binaries (stale symlinks should not happen) # Note: Special treatment of stop for LSB conformance FOO_BIN=/usr/sbin/FOO test -x $FOO_BIN || { echo "$FOO_BIN not installed"; if [ "$1" = "stop" ]; then exit 0; else exit 5; fi; } # Check for existence of needed config file and read it FOO_CONFIG=/etc/sysconfig/FOO test -r $FOO_CONFIG || { echo "$FOO_CONFIG not existing"; if [ "$1" = "stop" ]; then exit 0; else exit 6; fi; } # Read config . $FOO_CONFIG > A kézzel való linkelést azért nem ajánlom, mert a YaST vagy > a chkconfig pl átrendezi az indulási sorrendet, hogyha nincs rendes init > info a szkriptedben. init info? azt hogy? Végül.: ha sokat vagy hülyeségeket kérdezek akkor legyetek szívesek és szóljatok rám, mert hajlamos vagyok ilyesmikre. Csak nemrég regisztráltam be ere a lev.listára és rengeteg kérdésem van amire nem találtam meg eddig a választ. Köszönöm Budacsik --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. 07. 2, vasárnap keltezéssel 09.46-kor budacsik attila ezt írta:
1. Létrehoztam a firewall.sh szkriptet a /root/bin mappába 2. készítettem egy firewall nevő szkriptet a /etc/init.d mappába a SuSefirewall2 alapján. Íme: #!/bin/bash
FIREWALL="/root/bin/firewall.sh"
case "$1" in start) echo "Budacsik firewall start ..." $FIREWALL -q start ;; stop) echo "Budacsik firewall stop ..." $FIREWALL -q stop ;; restart) $FIREWALL -q stop $FIREWALL -q start ;; status) echo "Budacsik firewall check ..." iptables -L ;; * ) echo "Use: $1 {start|stop|restart|status}" ;; esac Ezzel nincs semmi baj, ez így jó. Ami hiányzik egy picit az az init info ld. lejjeb.
Jobbat nem tudok, ennyit értek hozzá. 3. a szilinket megcsináltam, és elvileg jó lett, de automatikusan nem indult. 4. Ekkor a yast-ban beállítottam a 2 3 5-ös-re, hogy induljon el és mostmár megy. De mt csinált a yast amit én nem?
Valószínűleg az történt, hogy nem tettél a link nevének elejére egy S-betűt és egy számot, az initrendszer csak ezeket a fájokat futtatja le. Trükkös. ;) Nézd meg a link nevét most.
Hogyha írsz egy saját indítószkriptet, akkor éredemes megcsinálni rendesen: /etc/init.d/skeleton. Hogyha megcsinálod a headert (BEGIN INIT INFO) is, akkor azt a szkriptet is tudod kapcsolgatni a chkconfig paranccsal. Igen, a skeletont közben megtaláltam és nézegetem is, de nem értek belőle dolgokat, például: # Check for missing binaries (stale symlinks should not happen) # Note: Special treatment of stop for LSB conformance FOO_BIN=/usr/sbin/FOO test -x $FOO_BIN || { echo "$FOO_BIN not installed"; if [ "$1" = "stop" ]; then exit 0; else exit 5; fi; }
Ez a rész teszteli, hogy a futtatandó bináris (a te esetedben a szkript) elérhető-e. Hogyha nem lehet futtatni a /usr/bin/FOO programot, akkor nem megy tovább a szkript.
# Check for existence of needed config file and read it FOO_CONFIG=/etc/sysconfig/FOO test -r $FOO_CONFIG || { echo "$FOO_CONFIG not existing"; if [ "$1" = "stop" ]; then exit 0; else exit 6; fi; }
# Read config . $FOO_CONFIG Itt pedig az történik, hogy egy külön fájba lehet felvenni a default változók értékét. pl a /etc/sysconfig/firewall fájlba beírhatod a $FIREWALL változódat. Nézegesd meg a sysconfig fájlokat a /etc/sysconfig könyvtárban, csak olyan fájlok vannak ott, amiben változók vannak definiálva és mindet az initszkriptek használják. Tehát az initszkriptek configjai vannak ott.
A kézzel való linkelést azért nem ajánlom, mert a YaST vagy a chkconfig pl átrendezi az indulási sorrendet, hogyha nincs rendes init info a szkriptedben. init info? azt hogy?
Az init info a szkripteknek az a része, ami a ### BEGIN INIT INFO és az ### END INIT INFO közötti rész. Itt van definiálva, hogy a szkript milyen szolgáltatást nyújt, és hogy milyen szolgáltatásoktól függ. Valamint az, hogy alapértelmezésként milyen futásiszinteken fusson. init info pl ### BEGIN INIT INFO # Provides: own_firewall # Required-Start: $network $local_fs # Should-Start: $ALL # Required-Stop: $local_fs # X-UnitedLinux-Should-Stop: # Default-Start: 3 4 5 # Default-Stop: 0 1 2 6 # Short-Description: This is my own firewall # Description: This firewall closes all ports from the # outside except ssh ### END INIT INFO A YaST futásiszint szerkesztője és a chkconfig parancs is ez alapján működik. Üdv, Papp Zsolt --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Szia,
Ha ugy erzed kesz vagy a konfiguralassal, akkor hasznald a wigvam-ot, vagy valamelyik port scanner-t (pl. nmap). Azok megmondjak mi van nyitva, hol torheto a geped... :-)
Udv, Emeric
Szia! Az a probléma, hogy ezt a scriptet renszerindítás után léptetem életbe és szerintem ennek tudható be ez: sentinel:/etc # nmap localhost Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-06-30 13:10 CEST Interesting ports on localhost (127.0.0.1): Not shown: 1675 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 10000/tcp open snet-sensor-mgmt Mrmost én befelé az ssh-n kívül semmit nem negedek új kapcsolatot. Fogalmam sincs, hogy mit keres ott az alsó 3 sor. A 25-öt kifelé engedem, de a 11 és 10000?? Nemtudom. Utóbbit tudom a webminé de én a tűzfalamban már nem engedtem ki. Le is törlöm, úgyse értek hozzá :) -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Szia,
Az a probléma, hogy ezt a scriptet renszerindítás után léptetem életbe és szerintem ennek tudható be ez: sentinel:/etc # nmap localhost Nezd meg az iptables kimenetet, amit a listara is elkuldtel, ott lathato hogy a loopback-rol minden forgalom engedelyezve van. Tehat ha nmap localhost-ot vizsgalsz, szerintem meg normalis is hogy ezt kapod eredmenyul... Vizsgald azt, ahonnan a tamadast varod...
Udv, Emeric --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
2006. június 30. 13.18 dátummal Tóth Imre ezt írta:
Nezd meg az iptables kimenetet, amit a listara is elkuldtel, ott lathato hogy a loopback-rol minden forgalom engedelyezve van. Tehat ha nmap localhost-ot vizsgalsz, szerintem meg normalis is hogy ezt kapod eredmenyul... Vizsgald azt, ahonnan a tamadast varod...
Udv, Emeric Ha az eth0 (melyről a net jön) ip címét vizsgálom akkor is pont ez történik. De a Wigwam azt az eredményt adta amit vártam. Csak a 22-es van nyitva, mert azt engedtem csak.
Ezenkívül szerintetek használható ez a kis tűzfal itthonra? -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
On Fri, Jun 30, 2006 at 1:13 PM, in message <200606301313.16000.budacsikattila@citromail.hu>, budacsik attila
wrote: Szia! Az a probléma, hogy ezt a scriptet renszerindítás után léptetem életbe és szerintem ennek tudható be ez: sentinel:/etc # nmap localhost Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006- 06- 30 13:10 CEST Interesting ports on localhost (127.0.0.1): Not shown: 1675 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 10000/tcp open snet- sensor- mgmt
Mrmost én befelé az ssh- n kívül semmit nem negedek új kapcsolatot. Fogalmam sincs, hogy mit keres ott az alsó 3 sor. A 25-öt kifelé engedem, de a 11 és 10000?? Nemtudom. Utóbbit tudom a webminé de én a tűzfalamban már nem engedtem ki. Le is törlöm, úgyse értek hozzá :)
A szkriptedben a localhostról érkező csomagokat elfogadod, így akármelyik helyi interfészedet szkennelheted, minden nyitva lesz. Hogya az iptables kiszűr egy portot, akkor az nmap azt mondja, hogy filtered, hogyha élér egy portot, akkor attól függően, hogy fut-e ott szolgátatás open, vagy closed, de ezek a portok elérhetőek. --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Most történt meg az igazi teszt. Valaki 5 percen keresztül molesztálta a 22-es portomat. Jun 30 14:22:19 sentinel sshd[9088]: Invalid user mailnull from 69.59.184.196 Jun 30 14:22:19 sentinel sshd[9088]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT! Jun 30 14:22:21 sentinel sshd[9090]: Invalid user nfsnobody from 69.59.184.196 Jun 30 14:22:21 sentinel sshd[9090]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT! rengeteg ilyen sor került a messages logba, de nem sikerült bejutnia. Mi a teendő? Betojtam :S -- Budácsik Attila E-mail: budacsikattila@citromail.hu Telefon: +36 30/655-9803 --------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
Ezektől nem kell félni. Tiltsd le a root login-t, és válassz nagyon nehezen kitalálható jelszavakat. És mindig használd a legfrissebb sshd-t. :) Ezek csak ilyen szkriptecskék, amik véletlenül találták meg a cimed. Hogyha óriási betűkkel benne van a logban, hogy "POSSIBLE BREAKIN ATTEMPT!" akkor nincs mitől tartanod. Hogyha ezeket el szeretnéd kerülni, akkor futtasd az sshd-t pl a 2222-es porton, ott nem fogják megtalálni ;) Egyébként a szkripted működik, és ez a lényeg. Nincs olyan tűzfalszkript, amin nem lehet egy picit finomitani, de ebből kiindulva a fél életedet iptables configolással tölthetnéd. Időnként érdemes felülvizsgálni a szkriptet, hátha ellestél időközben egy-két új fogást, egyébként ne törődj vele túl sokat. Üdv, Zsolt
On Fri, Jun 30, 2006 at 2:55 PM, in message <200606301455.58686.budacsikattila@citromail.hu>, budacsik attila
wrote: Most történt meg az igazi teszt. Valaki 5 percen keresztül molesztálta a 22-es portomat. Jun 30 14:22:19 sentinel sshd[9088]: Invalid user mailnull from 69.59.184.196 Jun 30 14:22:19 sentinel sshd[9088]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT! Jun 30 14:22:21 sentinel sshd[9090]: Invalid user nfsnobody from 69.59.184.196 Jun 30 14:22:21 sentinel sshd[9090]: reverse mapping checking getaddrinfo for customer-reverse-entry.69.59.184.196 failed - POSSIBLE BREAKIN ATTEMPT! rengeteg ilyen sor került a messages logba, de nem sikerült bejutnia. Mi a teendő? Betojtam :S
--------------------------------------------------------------------- To unsubscribe, e-mail: opensuse-hu-unsubscribe@opensuse.org For additional commands, e-mail: opensuse-hu-help@opensuse.org
participants (6)
-
Budacsik Attila
-
budacsik attila
-
Gabor Boros
-
Tóth Ferenc
-
Tóth Imre
-
Zsolt Papp