firewall - odblokovanie niektorych portov
...mam problem...
v skolskej sieti mame firewall do internetu. A problem je v tom, ze su takmer vsetky porty kôli bezpecnosti zablokovane.
nejde proste nic. ...kazaa,morpheus... no nic Iba web.
A teda by som si potreboval nejake tie porty povolit. Ako na to
Na zaciatok neuvadzam nazov distribucie linuxu, lebo ju neviem (zatial ma to nejako netrapilo, a myslym si ze sa to v kazdej distribucii nastavuje rovnako). Bezi tam command prompt (iba), a heslo roota samozrejme mam.
thx
ty mas rootovskej pristup na server do skolni site
byt tebou bych toho radsi nevrtal
zkus se podivat sem
http://www.root.cz/clanek/980
http://www.root.cz/clanek/990
http://www.root.cz/clanek/995
asi som zabudol dodat, ze tam robim intranetoveho spravcu siete a ten firewall robil niekto na zakazku pre skolu (a treba povedat, ze ho urobil dobre)Původně odeslal wong
ty mas rootovskej pristup na server do skolni site
ale bacha jake tam mas jadro! esli je ten fwall deleny uz kdysi tak tam muze byt rada 2.2.x a tam pak budou ipchains a ne iptables. ale k tem je dokumentace taky tuny a tuny
jj merkni na cem to jede, pokud je to 2.4 budou to na 80% iptables.
Merknes na "iptables -L" - vypise pravidla filtrovani. Policy bude urcite DROP. Pro povoleni portu neco takovyho "iptables -A FORWARD -d 1.2.3.4 -p tcp --dport 1111 -i eth0 -j ACCEPT"
Zalezi, jesli je tam NAT, tohle je, pokud maji i vnitni kompy verejny IP. Povolis tim forwardovat tcp pozadavky na port 1111 pro IP 1.2.3.4 (prichozi pozadavky = treba provoz DC++ jako active).
Pro odchozi pozadavky je to totez, akorat mist -d je -s (zdroj). "IPTABLES - A FORWARD -s 1.2.3.4 -i eth1 -j ACCEPT" = povolis VESKEREJ provoz z dany IP.
Pokud ti jde prevazne o odchozi provoz, tak je dobry povolit odchozi komplet (pro komp admina) a prichozi pro navazany spojeni.
"iptables -A -d 1.2.3.4 -i eth0 -state ESTABLISHED, REALTED -j ACCEPT"
!! dulezity je tam to rozhrani !! -i ethx. Kdyz ho neuvedes, fungovat to bude, ale napr. pokud povolis FORWARD z IP 192.168.0.1 z vnitrni site a neuvedes, ze ma bejt z rozhrani na vnitrni siti = prave si povolil pruchod paketu s touhle IP i z druhy strany. Pak nekdo muze podvrhnout IP a dostat svoje pakety dovnitr.
Nez to zacnes prekopavat, zazalohuj si to nastaveni.
Toto téma si právě prohlíží 1 uživatelů. (0 registrovaných a 1 anonymních)
Pravidla přispívání
Odpověď s citací