[Warrior]

Idézet: Archon - Dátum: 2008. márc. 17., hétfõ - 14:51

Kezdek megzavarodni...beszéltem a Linux-os rendszergazdával, aki egyre hajtogatta, hogy semmi ilyesmi nincs...beállítottuk a default policy-t ACCEPT-re, és a helyzet változatlan...lehet, hogy nem is a tûzfal fogja meg ezt a szerencsétlen programot?...

Vagy van benne szabály, ami direkt droppol dolgokat, többek közt ezt is. De mint mondtam, ehhez sorról sorra át kell bogarászni a szabályokat, hiszen a rendszer is ezt teszi!

A tûzfalon meg lehet nézni, hogy az adott klienstõl egyáltalán érkezik-e ezen portokra csomag, s ha igen, akkor mi lesz a sorsa! Kérd meg a rendszergazdit, hogy logolja az adott portra (esetleg adott idõben) bejövõ csomagokat, oszt azonnal kiderül, hogy a tûzfal dobja-e el. Egyébként még mindig be lehet linkelni a szkriptet, várunk, meg a találgatásnak szvsz sok értelme nincs.

ps.: azt akartam körvonalazni, hogy ez tûzfal mûködése csak akkor térképezhetõ fel, ha a teljes szabályrendszert látjuk. Nopersze ezzel elvben láthatjuk a kritikus pontjait is, de ha belegondolsz, tesszük mindezt a szerver ip-je, helye stb. ismerete nélkül. Meg egyébként is, a topic errõl szól.

Amíg elméletben beszélünk, addig a tanácsok is elméletiek lesznek.

Szerkesztette: Warrior 2008. 03. 18. 07:41 -kor

[Swifty]

Sziasztok!

Nézzetek utánna a netfilter listán az ilyen kérdéseknek !!!
Egy régi scriptem....
De ha kell, akkor privátban is segítek!!!

info at glsys dot eu

[Mono]

Sziasztok!

Egy egy hálókártyás szerveren az iptables befelé irányuló egyik szabálya így néz ki:

iptables -A INPUT -p tcp -m tcp -m multiport --dports 22,22,25,53,80,143,389,443,993,2381,3306,5900,5901,5901,10000 -j ACCEPT

Szerettem volna még egy portot hozzáadni, utána annyit nyavajgott, hogy "too many ports definied"
Ha azt az egy portot kivettem, akkor lefutott szépen. Azaz úgy tûnik, hogy 15 darab port lehet így, ebben a felállásban egy sorban definiálva.
Mit lehet tenni, ha több portra van szükség
Új sorban, ugyanígy, de más portokat felsorolva mûködhet a dolog :confused: Vagy a második sor felülírja az elsõ sor tartalmát :confused: Mit tudtok errõl

[Warrior]

Idézet: Mono - Dátum: 2008. nov. 20., csütörtök - 12:48

...
Mit lehet tenni, ha több portra van szükség
Új sorban, ugyanígy, de más portokat felsorolva mûködhet a dolog :confused: Vagy a második sor felülírja az elsõ sor tartalmát :confused: Mit tudtok errõl

Igen, így mûködik, ahogy kérdezted. Mármint új sorban, felsorolva a kimaradt portokat. Semmi nem ír felül semmit.

Gondold végig: a szabályokat veszi SORRA egy csomag esetében az iptables. Amelyik szabály (elõször) teljesül, annak megfelelõen lesz az "akció" végrehajtva. Kivéve pl. a log.

Ha pl. egy olyan szabály van a sor elején, ami mindent átenged, akkor a többi szabály bérmi lehet, minden át lesz engedve, hisz nem is fog az elsõ szabályon túljutni az iptables.

Tehát ha plusz portot akarsz felvenni, a megelõzõ szabályok szerint, akkor nincs más dolgod, mint a szabályt megismételni (új "sorban"), megadni a portot, majd pedig a target-et is megismételni. A target a DROP, ACCEPT, REJECT.

Szerkesztette: Warrior 2008. 11. 25. 14:42 -kor

[Mono]

Idézet: Warrior - Dátum: 2008. nov. 25., kedd - 14:40

Igen, így mûködik, ahogy kérdezted. Mármint új sorban, felsorolva a kimaradt portokat. Semmi nem ír felül semmit.

Gondold végig: a szabályokat veszi SORRA egy csomag esetében az iptables. Amelyik szabály (elõször) teljesül, annak megfelelõen lesz az "akció" végrehajtva. Kivéve pl. a log.

Ha pl. egy olyan szabály van a sor elején, ami mindent átenged, akkor a többi szabály bérmi lehet, minden át lesz engedve, hisz nem is fog az elsõ szabályon túljutni az iptables.

Tehát ha plusz portot akarsz felvenni, a megelõzõ szabályok szerint, akkor nincs más dolgod, mint a szabályt megismételni (új "sorban"), megadni a portot, majd pedig a target-et is megismételni. A target a DROP, ACCEPT, REJECT.

Igen, azóta kipróbáltam és mûködik a dolog, köszi!

[Lenny]

Adott egy web szerver. Kellene valahogy védenem szegényt, de nincs ötletem a szokásoson kívül.

Azaz, csak a 80-as portot engedem be, minden más tiltva. Hogy lehetne kicsit jobban védeni iptables szinten?

Esetleg valami más "extra" védelemre tipp?

[kepe]

sziasztok

Azt szeretném, hogy aktív legyen a vuze-ban a kapcsolatom, de vmi miatt mindi azt írja Port tesztelése 45472 ...
NAT Hiba - Connection to 193.8.11.253:45472 (your computer) refused.

Most már úgy próbálom hogy ki van kapcsolva a tûzfal
az iptables -L ezt írja.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
linux-90vg:/home/cica #

akkor  is connection refused
nincs routerem
de viszont egy kis cégnél vagyok aki csak bevezette 1 lankábelt hozzám
lehet hogy õk blokkolják az aktív kapcsolatot?
tigernet egyébként
Ha valakinek van ezzel kapcsolatos tapasztalata az kérem írjon
Vagy valamit mindenképpen be kell állítanom az iptablesba?
Ha elidítom a tûzfalat ekkor ezt írja ki:

linux-90vg:/home/cica # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            state RELATED
input_ext  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            PHYSDEV match --physdev-is-bridged
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
target     prot opt source               destination

Chain input_ext (3 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:45472 state RELATED
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp dpts:45470:45478 flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:45470:45478
ACCEPT     udp  --  anywhere             anywhere            udp dpts:45479:45486
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP       all  --  anywhere             anywhere

Chain reject_func (0 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable

elõre is köszönöm


üdv Kepe

[kroozo]

Hat, ha routered nincs, es igy szepen kilovod az iptablest, akkor jo esellyel nem ott van a gond. Kene nezni egyreszt egy "netstat -a" kimenetet, hogy egyaltalan nyitva van-e 45472 illetve esetleg egy tcpdumpot, hogy megjon-e egyalatalan a csomag hozzad. (Az a te ipd egyebkent?)

Mondjuk eleve eleg erdekes helyen vagy:

Tracing route to 193.8.11.253 over a maximum of 30 hops

  1     *      694 ms    61 ms  10.10.10.1
  2   108 ms   157 ms   243 ms  tt1-ip2.net.telekom.hu [145.236.225.6]
  3    88 ms   167 ms   169 ms  84.1.94.13
  4  2110 ms   834 ms   634 ms  84.1.94.13
  5   562 ms    74 ms   137 ms  bpt-b1-link.telia.net [213.248.79.9]
  6   278 ms   258 ms   365 ms  ffm-bb1-link.telia.net [80.91.251.182]
  7   386 ms   201 ms   217 ms  zch-b1-link.telia.net [80.91.248.120]
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.

Szerkesztette: kroozo 2008. 12. 29. 15:24 -kor

[kepe]

szia
Köszönöm szépen a válaszodat, nem az ipmet átírtam

ez a timestamp-om

20:50:40.694599 IP 10.210.2.42.netbios-dgm > 10.210.2.255.netbios-dgm: NBT UDP PACKET(138)
20:50:40.696742 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 823159:824607(1448) ack 1882 win 65141 <nop,nop,timestamp 352099 2691853>
20:50:40.701120 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 824607:825275(668) ack 1882 win 65141 <nop,nop,timestamp 352099 2691853>
20:50:40.701148 IP 10.210.3.138.60432 > 78.96.227.104.36593: . ack 825275 win 501 <nop,nop,timestamp 2691925 352099>
20:50:40.758697 arp who-has 10.98.98.2 tell 10.83.90.26
20:50:40.759611 IP 41.209.141.169.51560 > 10.210.3.138.39781: . 2146010:2147450(1440) ack 2498 win 61 <nop,nop,timestamp 7704764 2691897>
20:50:40.759646 IP 10.210.3.138.39781 > 41.209.141.169.51560: . ack 2138810 win 501 <nop,nop,timestamp 2691939 7704721,nop,nop,sack 1 {2140250:2147450}>
20:50:40.782766 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 825275:825535(260) ack 1882 win 65141 <nop,nop,timestamp 352100 2691925>
20:50:40.782857 IP 10.210.3.138.60432 > 78.96.227.104.36593: . ack 825535 win 501 <nop,nop,timestamp 2691945 352100>
20:50:40.795422 IP 41.209.141.169.51560 > 10.210.3.138.39781: . 2138810:2140250(1440) ack 2498 win 61 <nop,nop,timestamp 7704766 2691904>
20:50:40.795466 IP 10.210.3.138.39781 > 41.209.141.169.51560: . ack 2147450 win 446 <nop,nop,timestamp 2691948 7704766>
20:50:40.801400 arp who-has 10.98.98.2 tell 10.70.69.4
21974 packets captured
21974 packets received by filter

a netstatot pedig csatoltam az ipm 193.9.30.253
Jelnleg opensuse-t használok lehet, hogy az vmit még speciálisan szûr?
szia Kepe

Csatolt fájl:

•  netstat_a.txt (0byte)
  Letöltések:: 15

Szerkesztette: kepe 2008. 12. 29. 20:54 -kor

[kroozo]

Idézet: kepe - Dátum: 2008. dec. 29., hétfõ - 20:42

szia
Köszönöm szépen a válaszodat, nem az ipmet átírtam

ez a timestamp-om

20:50:40.694599 IP 10.210.2.42.netbios-dgm > 10.210.2.255.netbios-dgm: NBT UDP PACKET(138)
20:50:40.696742 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 823159:824607(1448) ack 1882 win 65141 <nop,nop,timestamp 352099 2691853>
20:50:40.701120 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 824607:825275(668) ack 1882 win 65141 <nop,nop,timestamp 352099 2691853>
20:50:40.701148 IP 10.210.3.138.60432 > 78.96.227.104.36593: . ack 825275 win 501 <nop,nop,timestamp 2691925 352099>
20:50:40.758697 arp who-has 10.98.98.2 tell 10.83.90.26
20:50:40.759611 IP 41.209.141.169.51560 > 10.210.3.138.39781: . 2146010:2147450(1440) ack 2498 win 61 <nop,nop,timestamp 7704764 2691897>
20:50:40.759646 IP 10.210.3.138.39781 > 41.209.141.169.51560: . ack 2138810 win 501 <nop,nop,timestamp 2691939 7704721,nop,nop,sack 1 {2140250:2147450}>
20:50:40.782766 IP 78.96.227.104.36593 > 10.210.3.138.60432: P 825275:825535(260) ack 1882 win 65141 <nop,nop,timestamp 352100 2691925>
20:50:40.782857 IP 10.210.3.138.60432 > 78.96.227.104.36593: . ack 825535 win 501 <nop,nop,timestamp 2691945 352100>
20:50:40.795422 IP 41.209.141.169.51560 > 10.210.3.138.39781: . 2138810:2140250(1440) ack 2498 win 61 <nop,nop,timestamp 7704766 2691904>
20:50:40.795466 IP 10.210.3.138.39781 > 41.209.141.169.51560: . ack 2147450 win 446 <nop,nop,timestamp 2691948 7704766>
20:50:40.801400 arp who-has 10.98.98.2 tell 10.70.69.4
21974 packets captured
21974 packets received by filter

a netstatot pedig csatoltam az ipm 193.9.30.253
Jelnleg opensuse-t használok lehet, hogy az vmit még speciálisan szûr?
szia Kepe

Namost ebbol az latszik, hogy a gepedet el sem eri a keres, mert semmi nem jon be azon a 45472-n.
(Persze ez lehet epp amiatt is, hogy rossz interfacen tcpdumpolsz, nem kuldtel kozben olyan probaizet, vagy szimplan nincs benne az utolso 20 sorban abbol a 22 ezerbol).

Raadasul vannak itt mindenfele franko 10. kezdetu privat cimek, ami megiscsak valami natolast sejtet valahol a halozatban. (Nem tudom, hogy a te cimed is nem e ilyen veletlenul)

Megnezded, hogy az ifconfig kimeneteben latszo ip-d egyezik-e azzal, ami kintrol latszik, mittomen, pl itt: http://whatismyip.com/ ?

Zsuzsit nem igazan ismerem, de erosen ketlem, hogy ilyet csinalna.

Szerkesztette: kroozo 2008. 12. 29. 21:47 -kor

[kepe]

Szia ez az ifconfig kimenetem , hogy rossz interfacen  tcpdumpolok, azt nem tm, nem értek ezekhez a dolgokhoz igazából.
az opensuse ezt állította be
eth0  (bár te lehet , hogy nem erre gondoltál)
Milyen kimenetrõl lehetne látni errõl még valamit?

linux-90vg:/home/cica # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1A:92:31:3B:9A
          inet addr:10.210.3.138  Bcast:10.210.3.255  Mask:255.255.255.0
          inet6 addr: fe80::21a:92ff:fe31:3b9a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:679168 errors:0 dropped:0 overruns:0 frame:0
          TX packets:397595 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:656631919 (626.2 Mb)  TX bytes:51961531 (49.5 Mb)
          Interrupt:20

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:244 errors:0 dropped:0 overruns:0 frame:0
          TX packets:244 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:19894 (19.4 Kb)  TX bytes:19894 (19.4 Kb)

pan0      Link encap:Ethernet  HWaddr 16:F0:E2:DB:75:CC
          inet6 addr: fe80::14f0:e2ff:fedb:75cc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:468 (468.0 b)

a whats my ip-m mondja a 193.9.30.253 -at
Nekem egyre inkább az a gyanúm , hogy egy belsõhálózaton lógok, hozzám csak egy utp kábelt lógattak be
nincs se routerem se modemem, semmi az égvilágon csak egy kanóc.
Ha tényleg ez a helyzet, hogy egy ilyen belsõ hálózaton vagyok, akkor tudom valahogy magam aktívá tenni
régebben úgy emlékszem az adsl-eseknek volt hasonló gondjuk, és vmi portforwardingot kellet csinálnuk
Bár ebbe nem vagyok biztos...
ha tudnál ebbe is tanácsot adni, annak nagyon örülnék

elõre is köszönöm


üdv Kepe

Szerkesztette: kepe 2008. 12. 29. 23:26 -kor

[kepe]

Illetve még találtam néhány hasznos parancsot amit kikapcsolt tûzfal mellet futtattam, remélem ebbõl a hozzáértõk hasznos információkat tudnak leszûrni

linux-90vg:/home/cica # nmap -sS 127.0.0.1

Starting Nmap 4.75 ( http://nmap.org ) at 2008-12-29 23:50 CET
Interesting ports on localhost (127.0.0.1):
Not shown: 996 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds
linux-90vg:/home/cica # netstat -antuwp | egrep "(^[^t])|(^tcp.*LISTEN)"
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:45472           0.0.0.0:*               LISTEN      17603/ktorrent
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3281/rpcbind
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      4056/sshd
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      3739/cupsd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      4072/master
tcp        0      0 :::111                  :::*                    LISTEN      3281/rpcbind
tcp        0      0 :::22                   :::*                    LISTEN      4056/sshd
tcp        0      0 ::1:631                 :::*                    LISTEN      3739/cupsd
udp        0      0 0.0.0.0:870             0.0.0.0:*                           3281/rpcbind
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           3617/avahi-daemon:
udp        0      0 0.0.0.0:111             0.0.0.0:*                           3281/rpcbind
udp        0      0 0.0.0.0:59632           0.0.0.0:*                           3617/avahi-daemon:
udp        0      0 0.0.0.0:631             0.0.0.0:*                           3739/cupsd
udp        0      0 :::870                  :::*                                3281/rpcbind
udp        0      0 :::111                  :::*                                3281/rpcbind
linux-90vg:/home/cica # nmap -sS 193.9.30.253

Starting Nmap 4.75 ( http://nmap.org ) at 2008-12-29 23:52 CET
Interesting ports on 193.9.30.253:
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
53/tcp open  domain

Nmap done: 1 IP address (1 host up) scanned in 2.35 seconds

  üdv Kepe

[Warrior]

Nem kell gyanakodni:

NAT "mögött" vagy, mivel a whatismyip.com nem ugyanazt a címet adja, mint a géped eth interfésze.

A géped hallgatózik a 45472-es porton, de talán "kintrõl" ez a port nincs a géped felé beirányítva (ez a portforward nagyjából). Ennyi KELL ahhoz, hogy "aktívan" használhasd a programot... Ezt a konfigurációt pedig csakis a NAT-ot végzõ eszközön teheted meg. (persze ha másfelé nem lehet routolni)... Kérdés, hogy hozzáférsz-e, meg legális-e, meg ilyesmi. Mert ha pl. céges router, akkor nem biztos, hogy engedik bogarászni...

Szerkesztette: Warrior 2008. 12. 30. 10:15 -kor

[kroozo]

Idézet: kepe - Dátum: 2008. dec. 29., hétfõ - 23:11

Szia ez az ifconfig kimenetem , hogy rossz interfacen  tcpdumpolok, azt nem tm, nem értek ezekhez a dolgokhoz igazából.
az opensuse ezt állította be
eth0  (bár te lehet , hogy nem erre gondoltál)
Milyen kimenetrõl lehetne látni errõl még valamit?

linux-90vg:/home/cica # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1A:92:31:3B:9A
          inet addr:10.210.3.138  Bcast:10.210.3.255  Mask:255.255.255.0
          inet6 addr: fe80::21a:92ff:fe31:3b9a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:679168 errors:0 dropped:0 overruns:0 frame:0
          TX packets:397595 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:656631919 (626.2 Mb)  TX bytes:51961531 (49.5 Mb)
          Interrupt:20

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:244 errors:0 dropped:0 overruns:0 frame:0
          TX packets:244 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:19894 (19.4 Kb)  TX bytes:19894 (19.4 Kb)

pan0      Link encap:Ethernet  HWaddr 16:F0:E2:DB:75:CC
          inet6 addr: fe80::14f0:e2ff:fedb:75cc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:468 (468.0 b)

a whats my ip-m mondja a 193.9.30.253 -at
Nekem egyre inkább az a gyanúm , hogy egy belsõhálózaton lógok, hozzám csak egy utp kábelt lógattak be
nincs se routerem se modemem, semmi az égvilágon csak egy kanóc.
Ha tényleg ez a helyzet, hogy egy ilyen belsõ hálózaton vagyok, akkor tudom valahogy magam aktívá tenni
régebben úgy emlékszem az adsl-eseknek volt hasonló gondjuk, és vmi portforwardingot kellet csinálnuk
Bár ebbe nem vagyok biztos...
ha tudnál ebbe is tanácsot adni, annak nagyon örülnék

elõre is köszönöm


üdv Kepe

Nem gyanakodni kell, biztosan igy van, ahogy Warrior is mondja , az ipd ez alapjan 10.210.3.138, ami meg egy privat tartomanyba eso cim, ilyeneket nem routeolunk az interneten, szoval a szolgaltato NATol neked, ok tudnak a problemad orvosolni. De valoszinu nem fogjak

[kroozo]

Ja, es mintha nem vuze futna ktorrent

[kepe]

Idézet: kroozo - Dátum: 2008. dec. 30., kedd - 11:21

Ja, es mintha nem vuze futna ktorrent

köszönöm szépen a válaszokat

Igen mind a 2 torrentklienst próbáltam, a vuze-t és a ktorrentet is

egyébként otthoni géprõl van szó és 1 kis szolgáltató adja a netet.
viszonylag jól is tudok tölteni, csak hát a külföldi trackerek közül néhánynak kell az aktív kapcsolat

:o) 


üdv Kepe

[Warrior]

Idézet: kepe - Dátum: 2008. dec. 30., kedd - 13:26

köszönöm szépen a válaszokat

Igen mind a 2 torrentklienst próbáltam, a vuze-t és a ktorrentet is

egyébként otthoni géprõl van szó és 1 kis szolgáltató adja a netet.
viszonylag jól is tudok tölteni, csak hát a külföldi trackerek közül néhánynak kell az aktív kapcsolat

:o) 


üdv Kepe

Ha rá tudod venni õket, hogy a géped IP-jére az általad megadott portot (pl. 42xxx akármi) beforwardolják, akkor OK, de ezt, ahogy Kroozo kolléga is írta, nem nagyon teszik meg, ha csak nem vagy bennfentes. Bár kis szolgáltatóknál még mázlid is lehet.

Szerkesztette: Warrior 2008. 12. 30. 18:58 -kor

[Lenny]

Üdv.

A következõre szeretnék megoldást találni.
Van egy linux tûzfal és mögötte a LAN-on windows-os gép. Az XP elérése távoli asztal kapcsolattal IP alapján van korlátozva. Szeretnék hozzáadni egy MAC alapján szûrt feltétel az eléréshez.

iptables -t nat -A PREROUTING -p tcp --dport 3389 -m mac --mac-source aa:bb:cc:dd:ee:ff -i eth0 -j j DNAT --to-destination 192.168.1.2:3389
iptalbes -A FORWARD -i eth0 -m mac --mac-source aa:bb:cc:dd:ee:ff -p tcp --dport 3389 -j ACCEPT

Természetesen az ESTABLISH, RELATED csomagok engedélyezve vannak.

Mi lehet a probléma?
Ami nekem furcsa, hogy a kern-el logjában a MAC= "a tûzfal külsõ MAC címe" majd valami más hozzáfûzve...
tehát nem MAC= 00:11:22:33:44:55 hanem MAC= 00:11:22:33:44:55:00:00:ee:22:ff:dd:ss:08:00

Nem értem..

[adam.k]

Idézet: Lenny - Dátum: 2009. júl. 20., hétfõ - 12:02

Üdv.

A következõre szeretnék megoldást találni.
Van egy linux tûzfal és mögötte a LAN-on windows-os gép. Az XP elérése távoli asztal kapcsolattal IP alapján van korlátozva. Szeretnék hozzáadni egy MAC alapján szûrt feltétel az eléréshez.

iptables -t nat -A PREROUTING -p tcp --dport 3389 -m mac --mac-source aa:bb:cc:dd:ee:ff -i eth0 -j j DNAT --to-destination 192.168.1.2:3389
iptalbes -A FORWARD -i eth0 -m mac --mac-source aa:bb:cc:dd:ee:ff -p tcp --dport 3389 -j ACCEPT

Természetesen az ESTABLISH, RELATED csomagok engedélyezve vannak.

Mi lehet a probléma?
Ami nekem furcsa, hogy a kern-el logjában a MAC= "a tûzfal külsõ MAC címe" majd valami más hozzáfûzve...
tehát nem MAC= 00:11:22:33:44:55 hanem MAC= 00:11:22:33:44:55:00:00:ee:22:ff:dd:ss:08:00

Nem értem.. :think:

Felteszem internet felol jon a request (nat, prerouting).  Ott a budos eletben nem fogsz mac cim alapjan azonositani: mindig ugyanaz lesz.

Ha nem internet felol jon, akkor tok jo lenne, ha leirnal mindent, valamint ha a magyar nyelv szabalyai szerint legalabb a ragokat kitenned, hogy lehessen tudni, melyik reszmondat mire vonatkozik.

[Lenny]

Idézet: adam.k - Dátum: 2009. júl. 21., kedd - 9:14

Felteszem internet felol jon a request (nat, prerouting).  Ott a budos eletben nem fogsz mac cim alapjan azonositani: mindig ugyanaz lesz.

Ha nem internet felol jon, akkor tok jo lenne, ha leirnal mindent, valamint ha a magyar nyelv szabalyai szerint legalabb a ragokat kitenned, hogy lehessen tudni, melyik reszmondat mire vonatkozik.

Internet felõl jönne a kérés. Akkor onnan esélytelen MAC alapján szûrni?