[gekmage]

Pár apró gondolat látatlanban elsõ olvasatra:

    $ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT    
    $ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Szerintem ez szvsz elég lenne csak -p tcp -re.

    $ipt -A INPUT -i eth0 -m state -p icmp --state INVALID -j DROP
    $ipt -A FORWARD -i eth0 -m state -p icmp --state INVALID -j DROP
    $ipt -A OUTPUT -o eth0 -m state -p icmp --state INVALID -j DROP
    $ipt -A FORWARD -o eth0 -m state -p icmp --state INVALID -j DROP


Ez szvsz felesleges, mert ha nincs rá további szabály az alap lép életbe és eldobálja.

    $ipt -A INPUT -i eth0 -p ip -f -j DROP

Ez szvsz talán nem csak az i eth0-ra ajánlott, és talán nem is csak az input láncra.

    $ipt -A INPUT -i eth0 -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
    $ipt -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    $ipt -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP


mivel az alapszabály drop, ezért sz'tem ez is felesleges.

    $ipt -A INPUT -i eth0 -p tcp -m multiport --destination-port 53,80,22,25 -m state --state NEW -j ACCEPT
    $ipt -A INPUT -i eth0 -p udp --destination-port 53 -m state --state NEW -j ACCEPT    


TCP 53 általában nem kell névfeloldáshoz.
    
    $ipt -A INPUT -s 81.x.x.x -m state --state NEW -j ACCEPT
    $ipt -A INPUT -s 10.0.0.0/24 -m state --state NEW -j ACCEPT        
    $ipt -A OUTPUT -p udp --dport 53 -j ACCEPT
    $ipt -A FORWARD -p udp --dport 53 -j ACCEPT

    $ipt -A OUTPUT -p tcp --dport 80 -j ACCEPT    
    $ipt -A FORWARD -p tcp --dport 80 -j ACCEPT

    $ipt -A OUTPUT -p tcp --dport 110 -j ACCEPT
    $ipt -A FORWARD -p tcp --dport 110 -j ACCEPT
    
    $ipt -A OUTPUT -p tcp --dport 143 -j ACCEPT #imap
    $ipt -A FORWARD -p tcp --dport 143 -j ACCEPT #imap


Sehol nem adtál meg hálózati interfacet -i / -o.

Még annyi hogy idõrõl idõre elfõfordulnak a kernelben routolással kapcsolatos biztonsági problémák a filter táblában.

Ha nagy a parafaktor akkor érdemes beüzemelni a mangle táblában a PREROUTING szálat. Az az elsõ szûrési lehetõség, ezután jön a filter/input , ill. /forward.

[Archon]

Sziasztok!

Abban kérem a segítségeteket, hogy egy Debian Linux FW mögött levõ gépen szeretném engedélyezni a World of Warcraft kommunikációját, amelyrõl ezt tudom:
"World of Warcraft requires that TCP port 3724 is forwarded. The Blizzard Downloader requires that TCP ports 3724 and 6112 are forwarded. It can also benefit from having ports 6881 through 6999 forwarded. The World of Warcraft Voice Chat feature uses UDP Port 3724."

A kérdésem az lenne, hogy az IPtables-ben hogyan tudom ezeket engedélyezni?

Köszi elõre is!

[dash]

Inkább ITT próbálkozz.

[Archon]

Idézet: dash - Dátum: 2008. márc. 12., szerda - 0:14

Inkább ITT próbálkozz.

Megpróba, bár 2007-es ott az utolsó hozzászólás... 

[padawan]

Idézet: Archon - Dátum: 2008. Mar. 11., Tuesday - 16:07

Sziasztok!

Abban kérem a segítségeteket, hogy egy Debian Linux FW mögött levõ gépen szeretném engedélyezni a World of Warcraft kommunikációját, amelyrõl ezt tudom:
"World of Warcraft requires that TCP port 3724 is forwarded. The Blizzard Downloader requires that TCP ports 3724 and 6112 are forwarded. It can also benefit from having ports 6881 through 6999 forwarded. The World of Warcraft Voice Chat feature uses UDP Port 3724."

A kérdésem az lenne, hogy az IPtables-ben hogyan tudom ezeket engedélyezni?

Köszi elõre is!

/sbin/iptables -A FORWARD -p TCP --m multiport --dport 3724,6112,6881-6999 -j ACCEPT
/sbin/iptables -A FORWARD -p UDP --dport 3724 -j ACCEPT

[Mono]

Sziasztok!

Tudtok-e arról valamit, hogy lehet-e és ha igen, hogyan hozzájutni egy olyan szolgáltatáshoz, mely a felhasználók jelszavainak módosításakor bizonyos tesztet elvégez, ha azon nem megy át, akkor új jelszó megadására kötelezi

Mondjuk a bubu felhasználó ne tudjon ugyanilyen bonyolutságú jelszót megadni magának :confused:
Gondolom ez paraméterezhetõ is lehetne, de mondjuk legalább egy nagy betûnek és egy számnak szerepelnie kelljen a jelszóban.

Debian, konzolban kellene.

[Friczy]

Idézet: Mono - Dátum: 2008. márc. 16., vasárnap - 17:19

Sziasztok!

Tudtok-e arról valamit, hogy lehet-e és ha igen, hogyan hozzájutni egy olyan szolgáltatáshoz, mely a felhasználók jelszavainak módosításakor bizonyos tesztet elvégez, ha azon nem megy át, akkor új jelszó megadására kötelezi

Mondjuk a bubu felhasználó ne tudjon ugyanilyen bonyolutságú jelszót megadni magának :confused:
Gondolom ez paraméterezhetõ is lehetne, de mondjuk legalább egy nagy betûnek és egy számnak szerepelnie kelljen a jelszóban.

Debian, konzolban kellene.

pam_cracklib használata nem jó?

Itt egy leírás:

http://www.deer-run....m_cracklib.html

[Mono]

Idézet: Friczy - Dátum: 2008. márc. 17., hétfõ - 21:59

pam_cracklib használata nem jó?

Itt egy leírás:

http://www.deer-run....m_cracklib.html

Dehogynem jó, sõt, vért izzadva rátaláltam, megtaláltam, kb. két órája már mûködik is a dolog bõ egy napnyi keresgélés után

Köszönöm!

[Eperkutyus]

Sziasztok.

Van egy Debian-om. Legújabb Testing, szeretem is. Régóta foglalkozok vele, de a Grub sosem kötött le annyira, hogy tudjam, mit kell most tennem:

Feltettem egy XP-t, és eltûnt a Grub-om, csúnya XP felülírta az MBR-t. Azóta ment fel még egy XP egy másik partícióra, és több Boot Manager is, de rájöttem, hogy egyik sem a legjobb, szeretnék Grub-ra visszaállni és élesíteni a Debian-t ismét.

Hogyan teszem meg ezt ? -> Van egy Knoppix (Debian alapú) Live CD-m, semmi más.

Grub alatt ugyanis szépen megadhatom a többi OS-t, és hogy milyen további logikai meghajtók legyenek melyik rendszernek láthatók és melyek nem (hidden).

Win98SE boot lemezbõl fdisk /mbr nem segített. Változtatta, de nem segített, mert az elõzõ sem volt már jó.

[Eperkutyus]

Idézet: padawan - Dátum: 2008. márc. 12., szerda - 16:51

/sbin/iptables -A FORWARD -p TCP --m multiport --dport 3724,6112,6881-6999 -j ACCEPT
/sbin/iptables -A FORWARD -p UDP --dport 3724 -j ACCEPT

PREROUTING  -j DNAT ?
A FORWARD-ok pedig csak akkor kellenek, ha a policy DROP. Ha ACCEPT, akkor tökmindegy.. (de érdemes DROP-ra tenni és akkor ezek a FORWARD-ok jöhetnek, biztonságosabb, ha szûröd ezt is.

Szerkesztette: Eperkutyus 2008. 03. 22. 12:17 -kor

[kroozo]

Idézet: Eperkutyus - Dátum: 2008. márc. 22., szombat - 12:04

Sziasztok.

Van egy Debian-om. Legújabb Testing, szeretem is. Régóta foglalkozok vele, de a Grub sosem kötött le annyira, hogy tudjam, mit kell most tennem:

Feltettem egy XP-t, és eltûnt a Grub-om, csúnya XP felülírta az MBR-t. Azóta ment fel még egy XP egy másik partícióra, és több Boot Manager is, de rájöttem, hogy egyik sem a legjobb, szeretnék Grub-ra visszaállni és élesíteni a Debian-t ismét.

Hogyan teszem meg ezt ? -> Van egy Knoppix (Debian alapú) Live CD-m, semmi más.

Grub alatt ugyanis szépen megadhatom a többi OS-t, és hogy milyen további logikai meghajtók legyenek melyik rendszernek láthatók és melyek nem (hidden).

Win98SE boot lemezbõl fdisk /mbr nem segített. Változtatta, de nem segített, mert az elõzõ sem volt már jó.

dvd betesz, bebootol, debian bemountol (ha tobb particio, akkor ertelemszeruen azokat is, bar home nelkul pl megvagy), chroot bemountold debianra, aztan grub-install, vagy dpkg --reconfigure grub, vagy ilyesmi.

[bogdan]

remelem nem a szokasos megoldhatatlan kerdesek egyike... de szeretnek megoldani egy "kis" problemat. debian, iceweasel, java? a www.cib.hu oldalan levo internetbanking-et szeretnem hasznalni. google-eztem jobbra balra, masoltam ide, oda, linkeltem ezt azt, stb, stb, stb. (hogy mi mindent, azt mar nem birom felidezni, raadasul tobbszor is nekialltam..) talan annyit sikerult elerni, hogy most mar ezt irja ki nekem az ablakban, ami elindul:
"Az Ön böngészöje nem támogatja a Java kisalkalmazások futtatását."
(regebben ilyenkor telepiteni akarta, de az ugye nem ment.)

mindekozben ha elmegyek a
http://www.java.com/...help/testvm.xml
oldalra, akkor ott tancol a kis emberke, jol megy a java (max azt irja, hogy nem a leguljabb, csak az 1.4.2 van fent..)

szoval mi lehet a gond? mit kene csinalnom?

[bogdan]

na, mit tesz ha az ember foglalkozik a problemaval.. felig sikerult megoldanom..
egyfelol a gepemen van telepitve firefox is, es iceweasel is. a javak, amik fent vannak a gepemen, ha minden igaz, az 1.5-os, es amit a debian telepitett (gyanithatoan az az 1.4-es), es most felraktam az 1.6-ost.

ami most szemetszurt, az az 1.4-es verzio, mikozben en kezzel felraktam az 1.5-ost, es be is linkeltem (a /usr/local/firefox/plugin es a /usr/lib/iceweasel/plugin directorykba), de az iceweasel, amit hasznalok nem azt mutatta!) most az 1.6-ost is belinkeltem, de nem jo..

kozben a firefox az uj javat mutatja jol, es fut a cib internet-bank. tehat a regi java-val volt a gondja. tiszta sor. de hogy kene az iceweaselt ravennem az uj javara? a firefox egy java linkje helyett itt kettot latok, de nem ertem, miert.. a libjavaplugin_oji.so -t, amit en allitottam be a leirasok alapjan, es a libjavaplugin.so -> /etc/alternatives/iceweasel-javaplugin.so -t... ha a masodikat atlinkelem az elsore meg mindig 1.4-es javat mutat.. hol kell beallitani ennek a szerencsetlennek, hogy van frissebb java?

Szerkesztette: bogdan 2008. 03. 24. 21:09 -kor

[bogdan]

latom senki nem akar segiteni nekem..

szoval belinkeltem osszesen 3 helyre (/usr/lib/mozilla/plugin/, /usr/lib/mozilla-firefox/plugin/ /usr/lib/iceweasel/plugin/) es most mar mukodik.. hogy miert van ezekbol 3, es voltakeppen melyik is szamit igazabol azt valaki azert elarulhatna..

[Lenny]

Idézet: bogdan - Dátum: 2008. márc. 24., hétfõ - 21:16

latom senki nem akar segiteni nekem..

szoval belinkeltem osszesen 3 helyre (/usr/lib/mozilla/plugin/, /usr/lib/mozilla-firefox/plugin/ /usr/lib/iceweasel/plugin/) es most mar mukodik.. hogy miert van ezekbol 3, es voltakeppen melyik is szamit igazabol azt valaki azert elarulhatna..

Próbáld ki, hogy szép lassan most elveszed onnan õket. Kiderül, melyik kell ténylegesen...

[bogdan]

az max a kerdes masodik felere ad valaszt..

[vasy]

Bár nekem Gentoo-m van, de elég érdekes ez a dolog.

vasy@vasy ~ $ ls /usr/lib/mozilla
plugins
vasy@vasy ~ $ ls /usr/lib/mozilla/plugins
vasy@vasy ~ $ ls /usr/lib | grep mozilla
mozilla
mozilla-firefox
mozilla-thunderbird
vasy@vasy ~ $ ls /usr/lib/mozilla-firefox/plugins
libnullplugin.so  libunixprintplugin.so
vasy@vasy ~ $

Miért is kell neked a legújabb? Ezt mondd meg nekem!

Debian alá így tettem fel a java-t, hogy

nano /etc/apt/sources.list

Majd ezt a surt beleírtam:

deb http://ftp.hu.debian.org/debian/ etch non-free

Majd:

apt-get update 
apt-get dist-upgrade
apt-get upgrade

És már is telepítettem a java-t és tökéletesen ment alapból. ))

De ha esetleg te nem szeretnd így feltenni, akkor ezt így megpróbálnám, hátha:

ln -s /usr/lib/j2re1.5-sun/plugin/i386/ns7/libjavaplugin_oji.so ~/.mozilla/plugins/
ln -s /usr/lib/j2re1.5-sun/plugin/i386/ns7/libjavaplugin_oji.so /usr/lib/mozilla/plugins/

Persze írd át a j2re1.5-öt 1.6-ra. ))

Üdv.:
Vasy

[vasy]

Bár azt nem értem, hogy te, hogyan tettél fel mozillát debian-ra? )))
Ugyan is mozillaból lett az iceweasel. )))

[bogdan]

Idézet: vasy - Dátum: 2008. márc. 25., kedd - 2:34

Miért is kell neked a legújabb? Ezt mondd meg nekem!

hat pedig irtam, csak ugy tunik nem olvastad el figyelmesen.. azzal, ami a debiannal jon (1.4.2-es) a cib bank felulete nem futott, hanem azt irta ki, hogy a bongeszom nem tamogatja a java kisalkalmazasok futtatasat. (nem azt, hogy regi verzio, es frissitsem, hanem azt, hogy nem tamogatja!  )

Idézet

De ha esetleg te nem szeretnd így feltenni, akkor ezt így megpróbálnám, hátha:

mint irtam, mar sikerult megtalalni.. igaz a ~/.mozilla//plugins ala nem is linkeltem.. viszont a legutolso kerdesem az volt, hogy konkretan hova is kell linkelni a (most mar) 4 hely kozul? mert ott van meg a mozila-firefox es a iceweasel directory is a /usr/lib alatt!! honnan lehet kitalalni, hogy melyikre van szuksege az embernek?

Idézet

Bár azt nem értem, hogy te, hogyan tettél fel mozillát debian-ra?
Ugyan is mozillaból lett az iceweasel.

nagyon misztikus, mi? letoltottem a honlapjarol es feltettem. (azaz nem csomagbol..) vagy ez annyira meglepo fordulat?
(hogy miert? mert sehonnan nem derult ki, hogy a mozillat iceweasel neven kene keresnem.. es mivel mozillara volt szuksegem... viszont kesobb, amikor megtudtam mar azt telepitettem rendesen.)

Szerkesztette: bogdan 2008. 03. 25. 08:36 -kor

[gekmage]

Idézet: bogdan - Dátum: 2008. márc. 25., kedd - 8:35

hat pedig irtam, csak ugy tunik nem olvastad el figyelmesen.. azzal, ami a debiannal jon (1.4.2-es) a cib bank felulete nem futott, hanem azt irta ki, hogy a bongeszom nem tamogatja a java kisalkalmazasok futtatasat. (nem azt, hogy regi verzio, es frissitsem, hanem azt, hogy nem tamogatja!  )

mint irtam, mar sikerult megtalalni.. igaz a ~/.mozilla//plugins ala nem is linkeltem.. viszont a legutolso kerdesem az volt, hogy konkretan hova is kell linkelni a (most mar) 4 hely kozul? mert ott van meg a mozila-firefox es a iceweasel directory is a /usr/lib alatt!! honnan lehet kitalalni, hogy melyikre van szuksege az embernek?

nagyon misztikus, mi? letoltottem a honlapjarol es feltettem. (azaz nem csomagbol..) vagy ez annyira meglepo fordulat?
(hogy miert? mert sehonnan nem derult ki, hogy a mozillat iceweasel neven kene keresnem.. es mivel mozillara volt szuksegem... viszont kesobb, amikor megtudtam mar azt telepitettem rendesen.)

1. Debian etch-el nekem sun-java5-plugin csomaggal 1.5.0-14-1etch1 verzió jön. aptitude install sun-java5-plugin. / non-free section /, de apt-pinning / ha érdekel lásd apt leírásokat, ezt azért így bonyolultabb leírni 2 sorban / el végül is lenny-bõl is simán feltehetném a sun-java6-plugint.

2. az usr/lib/iceweasel/plugins-ban levõt kezeli az iceweasel böngészõ.

Debinnal az ilyen böngészõ pluginok a etc/alternatives/*böngészõ*-pluginsba mutatnak. Azok pedig még egy "átirányítást" tartalmaznak, minden böngészõ (iceweasel, firefox, mozilla*) java pluginnál  ugyanarra az egy helyre, a sun-java*-csomagban levõ libjavaplugin_oji.so-ra.

Gondolom azért szedik külön a böngészõket, mert ha kézzel felteszel pl. egy naprakész firefoxot az iceweasel helyére/mellé , akkor is meglegyenek a pluginjaid (?), ne kelljen kézzel kozmetikázni. Ha kézzel tettél fel firefoxot, akkor a etc/alternatives/mozilla-firefox-javaplugin / de ha kézzel módosítod a usr/lib/firefox/pluginsban, az is jó, mert az is ugye elõszõr az etc-be mutat, azt pedig továbbirányítják a java csomagba a plugin bináris cuccoshoz.

Ezért, ha globálisan akarod felülírni, akkor a etc/alternatives/*iceweasel-javaplugin.so* -t symlinket teszed át az új verziós javaban levõ libjavaplugin_oji.so-ra.

Egyrészt azért teszik több helyre, mert használhatsz többféle böngészõt is. Ezért ahelyett, hogy mindegyik plugins könyvtárába bemásolnák a plugint, mindegyiket átirányítják egy symlinkkel a központi globális java-ra (etc/alternatives).Ha valamelyiket módosítani akarod, elég a etc/alternatives-ben átállítani a symlinkeket.

másrészt meg azért, mert ha java csomagot frissítik, akkor elég csak egy helyen módosítani a javaplugin symlinket (etc/alternatives)-ben, nem kell a böngészõk könyvtárába is pluszban belenyúlni.

kis debian feeling