O sa incep eu cu o intrebare.
Sint incepator in linux,si ma intereseaza daca iptables are o interfata grafica de configurare a regulilor,cum are ipchains.Personal mi se pare destul de enervant sa tot scriu linii de comanda in consola.Folosesc RH 8.
Multumesc.
Nu stiu sigur, dar ma voi interesa (si eu utilizez Linux doar de vreo luna jumatate).
Asta daca nu stie altcineva raspunsul...
Multumesc Mihai.
M-ar mai interesa un utilitar de monitorizare e retelei.Ceva care sa raporteze real-time,conexiuni,pachete care intra sau ies,incercari de conectare sau atac...Daca stie cineva...
Am vazut ca RH8 are inclus Log-Watcher,care transmite rapoarte prin mail,cind esti logat ca root.E ok,dar nu e real time.
Off-topic:
Mie treaba cu linuxul mi se pare foarte interesanta,si sper ca aici vom putea discuta cu totii(cei pasionati de el) probleme aparute,distributii,etc..
Sper si eu sa devina un loc de intalnire/discutie al pasionatilor UNIX/Linux.
pentru monitorizare de retea vezi iptraf sau netwatch. Monitorizeaza in timp real si is destul de faine... evident interfata in mod text.
Ceea ce priveste iptables-ul nu prea iti recomand sa folosesti tot felu' de utilitare care sa ti-l configureze. Nu-ti fie lene si mai scrie si tu cateva randuri de comenzi, sau fa-ti un script simplut care lucra in locul tau...
Bafta
Multumesc pentru informatii. De iptraf am auzit, de netwatcher mai putin. Oricum, o sa le caut pe net sa vad despre ce e vorba. In ceea ce priveste iptables, am ajuns la concluzia ca ai dreptate, tot mai bine e sa faci munca de secretara si sa il configurezi singur Apropos, exista utilitare care sa il configureze? Nu stiam de treaba asta, poti sa imi dai un nume, ceva? As fi curios sa il incerc.
Inca o intrebare referiotare la Linux,mai precis la configurarea iptables.
Daca am filtrat ssh (22 tcp)cu iptables,de ce la scanarea cu nmap il arata open?E open,sau e din cauza ca scanez de pe masina locala?
Comenzile au fost:
iptables -A INPUT -s 62.231.7x.xx -p tcp --sport 22 -d 62.231.8x.xx -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -d 62.231.8x xx -j REJECT
Gogu.Telejurnal:
Mai demult m-am jucat cu nishte utilitare pentru configurare de firewall. Erau in distributia de Mandrake sa Redhat (eu personal is fun de Mandrake). Nu mai tin minte exact care folosea iptables si care ipchains dar erau cateva. Daca nu ma insel este unul WatchDog, ceva de genul EasyFire sau asha ceva ... Daca ai Mandrake du-te in Software Manager si cauta acolo firewall. O sa-ti deie o gramada de rezultate. Dupa ce le instalezi de pe cd-uri le ai in meniul de start. Bafta - desi nu prea merita osteneala
Eu de exemplu pentru a simplifica configurarea firewall-ului am facut un script care ia toate datele dintr-un fisier si le baga in iptables. In fisierul respectiv is trecuti - linie cu linie - ip-urile, porturile, accesele etc ... mi se pare cea mai eleganta si sigura solutie.
Referitor la iptables-ul tau:
In primul rand trebuie sa specifici '--dport 22' pentru ca este portul de destinatie din punctul de vedere al clientului. El se conecteaze pe portul 22 al serverului tau, iar de la el pachetele vin de pe un oarecare port >1024.
In al doilea rand '-j REJECT' nu este ... se scire '-j DROP' In iptables numai asa merge.
Si in al treilea rand - cea mai mare greseala (nu vreau sa te jignesc) - este ordinea regulilor. Iptables ia la rand fiecare regula si in momentul in care gaseste o inregistrare care i se potriveste, aplica regula, si de restul nu mai tine cont.
QUOTE (eddiep @ Mar 6 2003, 05:21 PM) |
Referitor la iptables-ul tau: In primul rand trebuie sa specifici '--dport 22' pentru ca este portul de destinatie din punctul de vedere al clientului. El se conecteaze pe portul 22 al serverului tau, iar de la el pachetele vin de pe un oarecare port >1024. In al doilea rand '-j REJECT' nu este ... se scire '-j DROP' In iptables numai asa merge. Si in al treilea rand - cea mai mare greseala (nu vreau sa te jignesc) - este ordinea regulilor. Iptables ia la rand fiecare regula si in momentul in care gaseste o inregistrare care i se potriveste, aplica regula, si de restul nu mai tine cont. |
Incearca asa:
--- sa denumim ip-ul clientului 192.xxx.xxx.xxx
--- sa denumim ip-ul serverului 192.168.100.1
--- subnet mask-ul este implicit 255.255.255.0
--- Problema sa fie: acces pe portul 22 numai pentru ip-ul clientului.
iptables -I INPUT -p tcp --dport 22 -s 0.0.0.0/0 -d 192.168.100.1 -j DROP
--- astfel toata lumea care vrea sa intre pe portul de destinatie 22 pe serverul cu ip-ul serverului este 'aruncat'
iptables -I INPUT -p tcp --dport 22 -s 192.xxx.xxx.xxx -d 192.168.100.1 -j ACCEPT
--- va insera la inceputul listei criteriul prin care clientul cu ip-ul clientului are drept de conectare pe portul 22 al serverului cu ip-ul serverului
Observatii:
--- '-I' insereaza linia respectiva la inceputul listei lui iptables. Deci ordinea finala va fi - pentru iptables - ordinea inversa introducerii randurilor. O sa observi ca de multe ori este mult mai util sa folosesti '-I' in loc de '-A'
--- inainte sa le scrii pe aste vezi daca nu mai ai ceva bagat in iptables 'iptables -L -n'
--- daca ai ceva, poti sa golestii toate regulile cu 'iptables -F'
Teoretic ar trebui sa-ti mearga.
Apropo!!! Ce linux folosesti?
Ok,mersi...Voi incerca in varianta asta.
Folosesc Red Hat 8.
Stie cineva ceva despre icoanele 'fav', imaginile alea micute care apar in linia de adresa a unei pagini de web deschise. De ex. Yahoo are un Y mare si rosu de tot...
Incearca www.favicon.com Gasesti si detalii cum sa le folosesti.
Pe aceeasi tema:
Un mic tutorial: http://www.webdevelopersjournal.com/articles/favicon.html (este cam vechi, spune ca favicon merge doar pe IE, dar acum si Mozilla are suport pentru asa ceva)
Alt tutorial: http://www.winterdrache.de/freeware/png2ico/favicon.html
Un bug in IE 5.0 referitor la FavIcon: http://www.magnux.com/~flaviovs/sec/favicon/
pentru eddiep :
Ai avut dreptate cu iptables. Am incercat dupa cum ai zis si am reusit sa filtrez portul ala.
Mersi.
Mersi pentru ajutorul cu favicon-uri ... mi-a fost de folos.
Felicitari Gogu.Telejurnal!!! Orice inceput e greu...
hmmm... o chestie interesanta...
Am incercat sa intru pe acest forum cu 'links'. Totul parea sa fie in regula pana cand am incercat sa dau un reply la un topic. Mi-a dat o eroare de genul ca "Flood control is on ... wait 30 sec ..."
Necajit ca nu pot raspunde am abandonat ideea, iar acuma, peste o jumatate de ora, de pe un windows, am intrat iar. Vad ca mesajul trimis cu 'links' a ajuns pana la urma ...
... oare ce s-a intamplat?
Intrebare:
scriu niste reguli in iptables.Dau comanda iptables-save.Apare mesaj ca sint salvate.Opresc calculatorul,il repornesc,si acele reguli au disparut.Cum pot sa le salvez?
Gogu.Telejurnal:
Din cate stiu eu nu prea functioneaza chestia aia. Adica iptables.save salveaza intr-un fisier liniile curente, dar iptables.restore nu mai stie ce sa faca cu fisierul ala.
Eu mi-am facut un script care ruleaza la pornirea calculatorului si incarca regulile penru iptables dintr-un fisier.
Daca tu afli ceva cu save si restore la iptables ... spune-mi si mie.
Mie mi-a zis cineva in felul urmator:
iptables-save numefisier.
In /etc/rc.d/rc.local se scrie iptables-restore numefisier.Zicea ca le incarca la pornire.La mine nu a functionat .Mai caut si daca aflu ceva postez aici.
Apropos,scriptul de care vorbeai cum se face?
Script... nu stiu cum sa-ti explic sa fie cat mai scurt si pe intelesul tuturor ...
Ar fi bine sa shtiu daca ai auzit despre limbajul de script al 'bash'-ului.
Ca idee, scriptul pur si simplu citeste rand cu rand un fisier (gen tabel). In fiecare rand sunt precizate ip, port, tip acces. Le citeste si executa comanda clasica 'iptables -I INPUT ....'. Asha face cu fiecare rand din acel fisier. Rezultatul este un firewall destul de fainut
MA bag si eu aici ... iptables-resore cale_catre_fisier nu a mers nici la mine niciodata nu stiu de ce.
Un script e usor de facut. Scrii comenzile care trebuie executate intr-un fisier, apoi faci acel fisier executabil:
CODE |
chmod +x fisier |
CODE |
#!/bin/bash |
QUOTE (eddiep @ Mar 7 2003, 03:59 PM) |
Script... nu stiu cum sa-ti explic sa fie cat mai scurt si pe intelesul tuturor ... Ar fi bine sa shtiu daca ai auzit despre limbajul de script al 'bash'-ului. Ca idee, scriptul pur si simplu citeste rand cu rand un fisier (gen tabel). In fiecare rand sunt precizate ip, port, tip acces. Le citeste si executa comanda clasica 'iptables -I INPUT ....'. Asha face cu fiecare rand din acel fisier. Rezultatul este un firewall destul de fainut |
Mersi Radu pentru completare, am uitat ca baiatul este incepator ...
Multumesc Radu,o sa incerc ideea ta.Ceva tot imi va iesi .
Gogu.Telejurnal,
man bash -- ai ce citi!!! Daca ai idei despre programare, in general, ii usor sa-l inveti. Spor la experimentari.
Pentru ori eventualitate iti recomand sa nu-l experimentezi direct pe iptables. Incearca ceva simplu de inceput. De ex. sa cieatsa liniile din acel fisier si sa ti le afiseze pe ecran ... si asha mai departe.
QUOTE (eddiep @ Mar 7 2003, 02:50 PM) |
Mi-a dat o eroare de genul ca "Flood control is on ... wait 30 sec ..." |
Eddiep si Radu:
Mersi de ajutor,dupa lupte seculare care au durat aproape 2 ore,am invatat sa configurez scriptul ala pt. firewall .Culmea e ca imi si merge .
Eddiep:
Am mai aflat de o comanda pt. a salva iptables:
#iptables-save >/etc/sysconfig/iptables
Mie nu mi-a functionat,poate altii sa aiba mai mult noroc.
Cel mai bine e tot cu un script.Dupa ce inveti sa il faci(cazul meu),e foarte usor.
O mica propunere... pui regulile (comenzile pt. iptables) intr-un fisier rc.firewall si il salvezi in /etc/rc.d . Dupa aia pui ce scrie aici in rc.inet2 :
if [ -x /etc/rc.d/rc.firewall ]; then
/etc/rc.d/rc.firewall start
fi
Et voila! Regulile tale setate in rc.firewall vor fi initializate la fiecare incarcare a sistemului.
CrazyGod:
Mersi de ajutor. Deocamdata cred ca ramin la scriptul ala, oricum imi notez linia de comanda data de tine, mai invat si eu cite ceva .
Alta intrebare:
Care e diferenta dintre ipchains si iptables?
Am auzit multa lume spunind ca iptables e mai bun, dar nimeni nu m-a lamurit de ce.
o mica lamurire pentru ceilalti utilizatori:
iptables a aparut odata cu kernelul 2.4.x
Iptables este diferit de ipchains in primul rand prin modul de "declarare" al regulilor, el configurandu-se mai usor decat ipchains. Iptables foloseste tehnologia SPI ( stateful packet inspection) care permite asocierea mai multor conexiuni asemanatoare folosind o singura regula, lucru dificil de realizat cu ipchains. Daca ai o conexiune deja existenta si folosesti iptables sa adaugi o regula pentru acea conexiunea, ea va fi intrerupta . Ipchains nu face acest lucru. Cam atat pt moment .
Gata??? Nu mai aveti intrebari despre Linux?...
De cand exista subforumul Linux parca nu mai circula atata lume p'aci ...
Dar asta nu este tema potrivita aici, asa ca trec la intrebare:
Stie cineva daca exista RTLinux pentru un kernel 2.4.19? Daca da, unde gasesc? La ei pe pagina parca ultimul (RTLinux 3.0) era pentru kernel 2.2.x si experimental pentru 2.4.0.
Nu e prea corect ce spui tu acolo. Cum adica RTLinux pentru kernel xxx????????
Daca ai RTLinux, iei kernelul si il compilezi, si ai RTLinux cu ultimul kernel.
Mah ... nu am incercat, dar in documentatie scrie ca la compilare trebuie sa dai sursele unui kernel anume. Adica RTLinux 3 ii proiectat pentru kernel 2.2.(nu mai stiu cat), deci vrea surse de kernel respectiv. Cel putin eu asha am inteles. Dar maine incerc o compilare si va spun rezultatul.
RTLinux ... hmmm ...
Am facut cateva experimente sa fac rtlinuxul sa-mi mearga. Rezultate ... dezastruase:
- Sursa de kernel 2.2.18 (pentru care ii proiectat rtlinux3) nici nu se compileaza.
- Sursa de kernel 2.4.19 (originalul din Mandrake9.0) nu poate fi pach-uit cu ce ofera sursele din rtlinux, rezultatul este ceva eroare de variabile in anumite fisiere surs
- Sursa de kernel 2.4.20 se compileaza fain, cica si patch-ul merge pe el - desi apare un warning - dar dupa aceea la final, cand ar trebui pus efectiv rtlinux, nu mai merge.
Nu aveti vreo idee care-i baiul? Am procedat conform documentatiei de rtlinux3.0.
ce comenzi trebuie folosite pentru a instala un client de direct connect in Xandros
asta cred ca clientul de direct connect opendchub-0.6.11.tar.gz
Am si eu de curand sa lucrez cate ceva sub linux. Incercand sa compilez un program facut ceva mai demult pentru windows (cu modificarile de rigoare, pentru compatibilitate) m-am lovit de urmatoarea eroare:
CODE |
[...]/water.cpp:389: undefined reference to `coef_qi(double**, double**, int, int)' |
Inca ceva, de data asta nu mai este o prostie:
Am compilat programul de care vorbeam si.... merge oribil de incet!!!
Adica prelucram niste imagini, si daca versiunea compilata cu VisualC++ 6 (sub windows) trata cam trei imagini pe secunda, asta trateaza una la doua secunde!!!
Am incercat sa-i dau si optiunile -O, dar nu se vede nici o diferenta. Si, in fond, este acelasi program, adica diferentele sunt minore. Are cineva idee de ce se intampla chestia asta?
Va place?
e veche !
din seria noi suntem mai buni !
si alea cu fetele cu tatuaje cu pinguinul !
Buna. Daca stie cineva un mediu de programare pt c/c++ sub linux care sa aiba Trace. Nu de alta dar incerc sa invat programre sub linux, si cu g++ nu pot sa vad unde si de ce da eroare.
de ex incerc deja de mult timp sa fac sa mearga programul acesta :
/* Opening and closing CD-ROM device */
#include <stdio.h>
#include <unistd.h>
#include <sys / ioctl.h>
#include <fcntl.h>
#include <linux/cdrom.h>
int main()
{
int fd;
/* check if /dev/cdrom is accessible */
if((fd = fopen(" /dev/cdrom ", O_RDONLY | O_NONBLOCK
== -1 ))
{
perror("eject: Cannot open /dev/cdrom");
return (1);
}
/* check for extended ioctl() access */
if((ioctl(fd,CDROMEJECT) == -1)
{
perror("eject: ioctl() failed");
return(1);
}
close(fd);
return(0);
}
, luat de aici http://www.codepedia.com/wiki/printer.aspx?WikiID=1&p=BeginnersGuideLinuxProgramming
-prima data dadea eroare ca nu poate face conversie de tip
-dupa aceea nu gasea cutare.h
-cum nu mai da eroare dar nu merge si nu stiu unde ii baiu. Daca as putea sa rulez linie cu linie si sa vad valorile variabilelor ar fi mai usor.
-folosesc Fedora Core 4.
-Tx
te referi la strace?
nu siu cum ii zice in linux; dar permite sa introduci variabilele si sa vezi la fiecare pas valorile lor.
Eu am incercat cu rhide, un mediu de programare aproape identi cu Borland c sub windows, dar este facut pt Debian. Si cred ca de aceea nu am putut sa il instalez.
Ceva de genu acesta daca stiti m-ar ajuta, dar pt Fedora Core 4.
Tehnic:Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)