[ mird @ 14.02.2007. 11:07 ] @
| kratko pitanje: Sta predstavlja cmd u slijedecem dijelu ispisu sa PIX-a: access-list outside-access-in permit tcp host PRVI host DRUGI eq cmd Koji je to protokol? Port? |
|
[ mird @ 14.02.2007. 11:07 ] @
[ optix @ 14.02.2007. 11:37 ] @
Sluzi za rcmd (Remote commands) servis, port je 514.
[ mird @ 14.02.2007. 15:29 ] @
Hvala na pomoci!
[ mird @ 25.02.2007. 05:23 ] @
Zao mi je priznati ali moram ponovo pitati slicnu stvar:
U primjeru: access-list outside-access-in permit tcp host PRVI host DRUGI eq 22 moje tumacanje je: pusti vanjskog hosta PRVI u unutrasnju mrezu ka hostu DRUGI po portu 22 Da li je moje tumacanje ispravno? Da li komunikacija po portu 22 ide u oba smjera samo uz pomoc ovog pravila? Kako postaviti ekvivalentno pravilo u IPTables? Probao sam ovako: #host PRVI po SH protokolu na host DRUGI $IPTABLES -A FORWARD -p tcp --source IP_PRVI \ --dport 22 -i $EXTIF -d IP_drugi -m state \ --state NEW,ESTABLISHED,RELATED -j ACCEPT i na testom primjeru radi! Ali tek nakon sto sam dodao na kraju: $IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT Negdje grijesim ali zaista ne razumijem gdje????? U logici pix-a ili IPTables? [ Milan Andjelkovic @ 25.02.2007. 15:01 ] @
Ček, ček... Jel na pixu sve radi kako treba? Ako radi kako treba, ti hoćeš samo da preslikaš tu funkcionalnost na iptables, jel tako?
To je onda: iptables -A FORWARD -s $SOURCE_IP -d $DESTINATION_IP -p tcp --dport 22 -j ACCEPT Treba ti i drugi smer, što može da se izvede na više načina, kao i većina stvari, ali recimo: iptables -A FORWARD -s $DESTINATION_IP -d $SOURCE_IP -p tcp --sport 22 -j ACCEPT Ukoliko hoćeš da koristiš nešto slično pixovoj filozofiji onda bi umesto poslednjeg (drugog) pravila mogao da ubaciš recimo sledeće: iptables -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -j ACCEPT gde je LAN_INTERFACE trusted strana (veći security level), a WAN_INTERFACE je less trusted strana (manji security level). [ optix @ 25.02.2007. 15:32 ] @
Citat: mird: Da li je moje tumacanje ispravno? Da li komunikacija po portu 22 ide u oba smjera samo uz pomoc ovog pravila? Na pix-u ce to raditi ako se u drugom smeru propusta sve. Inace, kao i za primer koji ti je Milan objasnio, moras imati i pravilo koje propusta od ssh servera ka spolja. [ mird @ 26.02.2007. 12:31 ] @
Na piksu sve radi kako treba ali ne i na mojim IPTables. :-)
Pravilo sa kojim sve pusta vani na pix-u postoji (mada bi ga trebalo ukinuti, nekada u buducnosti) Ova kombinacija: #host PRVI po SH protokolu na host DRUGI $IPTABLES -A FORWARD -p tcp --source IP_PRVI \ --dport 22 -i $EXTIF -d IP_drugi -m state \ --state NEW,ESTABLISHED,RELATED -j ACCEPT #odgovori po uspostavljenim konekcijama $IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT radi i na testnom primjeru i na jednom manjem pix-u tj, zamjeni pix-a sa IPTables koju sam napravio prosle sedmice. Konfiguracije su iste(na istom principu). Sto se tice pravila, slicna su, ali ih sada ima mnogo vise. Pitanje: Da li IPTables moze da vrsi da filtriranje/proslijedjivanje na vise IP adresa a po jednom portu? (vise pravila kao ovo gornje #host PRVI...) a sa jednim pravilom za odgovorom: $IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT Obzirom da sada imam jedan eth interface vise da li je potrebno postaviti neko preciznije pravilo od: $IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT npr po interfejsima? za kraj, jedan mali ispis greske od strane kernele: IN=ETH0 OUT=ETH2 SRC=IP_PRVI DST=IP_DRUGI SPT=22 DPT=neki_random_port... Pretpostavljam da je ovaj ispis nastao kao rezultat neuspjelog odgovora na uspostavljenu konekciju (uspostavljena ili pokusana , ali ne prolazi nazad)? [Ovu poruku je menjao mird dana 26.02.2007. u 16:33 GMT+1] Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|