[ dejan_su @ 04.09.2007. 17:15 ] @
podesio sam mrezu sa linuxom kao serverom. problem je sto mi ne radi dns, tj je mogu na win clientima da stavim za dns 192.168.0.1 jer nece da radi, vec moram da pisem dns adresu provider-a. zasto?
u /etc/resolv.conf pise sve kako treba

ovo mi je problem jer ne mogu da attach-ujem nista na mail preko xp masina, pa kontam da je zbog toga.
[ VRider @ 04.09.2007. 18:13 ] @
Da li si uopste podesio DNS server?
Instaliraj DJB-DNS. Lako se podesava. Evo ti i kako:
http://cr.yp.to/djbdns/run-cache-x.html
[ dejan_su @ 04.09.2007. 19:28 ] @
zasto ne Bind?

nasao sam i neki MaraDNS...sta mislis o njemu?
[ VRider @ 04.09.2007. 22:46 ] @
Nemam nista protiv da ti tu stavis sta hoces. Ja samo ti samo preneo svoje iskustvo. Treba ti manje od minuta da to podesis.
[ nkrgovic @ 05.09.2007. 11:24 ] @
Moje neko iskustvo je da je najbolje, ako nisi siguran da znas sta radis, da stavis onaj DNS koji je dosao uz distro koji si instalirao :). U vecini slucajeva to je BIND. Razlog je jednostavno update-i : automatski update-i su mnogo laksi za koriscenje i verovatno mnogo pouzdaniji nego da ti rucno obilazis sve instalirane pakete i gledas sta treba da update-ujes na ruke. Ovo posebno vazi za male mreze gde jedan covek radi sve, i gde on nema vremena da se bavi svime dovoljno studiozno.
[ Miroslav Strugarevic @ 05.09.2007. 13:37 ] @
Instaliraj BIND i sigurno nećeš imati problema. Neki ljudi izbegavaju BIND zbog toga što je poznato da su prethodne verzije imale mnoogo sigurnosnih propusta. Od verzije 9 stanje se znatno poboljšalo.
[ VRider @ 05.09.2007. 14:52 ] @
Covek na serveru ima Debian, tako da mu nije problem da instalira sta hoce, kao ni kasnije da updateuje.
Izem ti program koji se po defaultu instalira chroot-ovan.
[ dejan_su @ 05.09.2007. 15:22 ] @
stavljen je bind9, ocas posla, bez podesavanja i sve radi
nego da ne otvaram novu temu bez veze, kako mogu u iptables-u da dozvolim pristum ssh-u samo iz lokalne mreze i sa mog compa kuci?
sta treba da dodam u sledece:

Code:
iptables -A INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable


recimo da je adresa xxx.xxx.xxx.xxx :)

uz to, da li bi bilo pozeljno i /etc/hosts.deny isto da ubacim nesto?
[ Tyler Durden @ 05.09.2007. 18:29 ] @
Nešto mi je mozak stao, ne znam da li možeš to da uradiš sa inverznim pravilom.
Čini mi se da će ti raditi samo pravilo koje je prvo u nizu. U ovom slučaju, puštaće konekcije samo iz lokalne mreže.
Aj nek se javi neko ko je siguran.

Code:
iptables -A INPUT -s ! 192.168.0.0/16 -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -s ! x.x.x.x -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable


x.x.x.x je IP adresa od tvog računara kući.

Ali možeš staviti da ti je default polisa DROP sve, pa onda eksplicitno otvaraš ono što ti treba.
[ A-l-m-i-r @ 06.09.2007. 16:45 ] @
Recimo da je sve blokirano a ti otvaraš šta ti treba
Za ssh bi to išlo ovako
Citat:

#da omogućiš ssh za lokalnu mrežu
iptables –A INPUT –s 192.168.0.0 –p tcp --dport 22 –j ACCEPT
# da blokiraš ssh izvan lokalne mreže
iptables –A INPUT –s ! 192.168.0.0 –p tcp -- dport 22 –j DROP
[ VRider @ 06.09.2007. 17:39 ] @
A maska na ovaj source?
I druga stvar, ne treba ti par pravila za sve (cak nece ni raditi). Default DROP, pa pusti sta hoces.
[ dejan_su @ 07.09.2007. 11:47 ] @
ako sam dobro shvatio, prvo odradim
Code:
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


pa onda
Code:
iptables -A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable

Code:
iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable


da li sam u pravu?
i dali i na default drop mogu da stavim port-unreachable?
[ Tyler Durden @ 07.09.2007. 12:37 ] @
U pravu si i možeš.

Ali u ova pravila sada ne stavljaš REJECT već ACCEPT. Sa ovih adresa želiš da pustiš sav saobraćaj, zar ne?

Možeš eventualno da dodaš poslije ovih pravila da ti sve ostalo radi REJECT sa port unreachable

Code:
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

[ VRider @ 07.09.2007. 13:17 ] @
Reject je isto kao i DROP, sa tom razlikom sto obavestavas onoga ko pokusava da port nije dostupan. Mnogo bitnije je sto mu kazes da si ipak tu, a za to nemas razloga.
Ako te neko cima na mobilni, verujem da ces radije (da mozes) da mu das poruku "broj ne postoji", nego "busy".
[ dejan_su @ 07.09.2007. 14:00 ] @
evo sta mi sada stoji u /etc/network/if-up.d/firewall
Code:
#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin                                                                                           
#
# delete all existing rules.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 2222 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp --dport 2222 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward


Da li je sve ok i da li je redosled dobar?
[ A-l-m-i-r @ 08.09.2007. 08:54 ] @
Probaj pa vidi da li radi?

Samo nije 2222 port već 22 :)
[ dejan_su @ 08.09.2007. 10:30 ] @
jeste 2222, tamo sam ga stavio:)
nece da mi radi, iz lokala sam probao...kako inace na debian-u da resetujem iptables?
radice to...samo mi je bitno da li je raspored ok.
[ A-l-m-i-r @ 09.09.2007. 08:49 ] @
Ne znam kako je to na debianu al to bi išlo ovako ./firewall-skripta

[ Dundjerski Nemanja @ 11.09.2007. 13:17 ] @
Citat:
dejan_su: jeste 2222, tamo sam ga stavio:)
nece da mi radi, iz lokala sam probao...kako inace na debian-u da resetujem iptables?
radice to...samo mi je bitno da li je raspored ok.


Kako mislis da resetujes?