顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - IceCream

頁: 1 [2] 3
31
系統安全討論版 / FORWARD POLICY DROP?
« 於: 2003-01-29 21:06 »
-m state --state ESTABLISHED,RELATED 的RELATED 是指什麼關係呢?
這樣的設定會把httpd server 回client 的syn 擋下來嗎?

32
系統安全討論版 / FORWARD POLICY DROP?
« 於: 2003-01-29 21:01 »
請問一下我想把我的netfilter 改成forward policy drop, 有什麼需要注意的嗎?
設有網路一段 200.73.*.128/25, 允許使用 port 80 而已
要設 iptables -A FORWARD -s 200.73.*.128/25 -p tcp --destination-port 80 -j ACCEPT 及
iptables -A FORWARD -d 200.73.*.128/25 -m state --state ESTABLISHED,RELATED -j ACCEPT
這樣一個簡單的firewall 就算可以用了??

33
剛念了一下 how-to, 好像用 -j LOG 可以
但是log 會放到那裡呢?

34
引述: "Tetralet"
iptables 裡的 Log 功能,
加上分析 /var/log/messages....


請問一下要怎樣把iptables 的log 打開?
有沒有什麼好用的log analizer?

35
用一台486 + Equal-Cost MultiPath Routing ?

37
Network 討論版 / 請問 switch 和網絡的效能
« 於: 2002-12-31 12:35 »
引述: "netman"
若是不想切 vlan 或不能切,又要在同一 pysical segment 上設多個 subnet ,若 switch 不是 L3 的話,效能是肯定受影響的。

想想看:
1) 是否要 router ?
2) net_1 到 net_2 的封包是否要經 router ?
3) 封包一共經過 switch 多少次?
4) 若分開 switch 呢?


可能有點離題不過請問一下, 如果把2個switch 分開然後用一台linux 連起來算不算是交換器? 我現在是這樣做.....
又, router 跟交換器有什麼不一樣嗎?

關於"若是不想切 vlan 或不能切,又要在同一 pysical segment 上設多個 subnet ,若 switch 不是 L3 的話,效能是肯定受影響的。" 是不是指broadcast 的部分? 因為switch 是L2 的所以每個subnet 的機器都會影響到?

38
http://www.study-area.net/tips/tipsfr1.htm

看一下這裡, 有好幾個解決方案喔

39
Linux 討論版 / 問一下arp proxy 的問題喔~
« 於: 2002-12-01 08:21 »
我有2個物理連線是分開的網路
藉著一台arp proxy (2個nic 各連到2個網路) 串連
2個網路的邏輯連線是一樣的(200.73.*.128/25)
請問一下,如果有一些application 要用到MAC 的話
會不會有問題呢?
像是wake on lan 的功能

40
Linux 討論版 / Re: Transparent Proxy 問題請指教
« 於: 2002-10-30 18:19 »
引述: "Beginner"
引述: "uck"
iptables -t nat -A POSTROUTING -o eth0  -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128


我覺得這兩行的順序調動一下,因為他先作了 NAT,然後才作 redirect 到 port 3128 的動作,這應該反過來才對?


順序沒差吧.......那2個市不一樣的chain..........

41
Linux 討論版 / Transparent Proxy 問題請指教
« 於: 2002-10-29 10:43 »
引述: "uck"
學長們我好像成功了吔!!  我下達  ps -aux 顯示有兩行,這樣是否成功了??

root      1499  0.1  0.2  3816 1028 ?        S    22:29   0:00 /usr/local/squid/
nobody    1503  0.5  0.2  4064 1200 ?        S    22:29   0:00 (squid) start

如果這樣是成功的有還有幾個問題想請教!!

1.之前我執行squid時有一次顯示 visible_hostname沒有設定,於是我私底下在squid.conf
  檔下自行加了 visible_hostname porxy.abc.com.tw  --->這是我公司的網域,不知可不可以!!

2.我之所以要架Transparent Proxy  原因是公司員工利用上班時間上msn及bbs,而我想用Transparent Proxy  
  擋下來.但我不知要如何擋msn及bbs(它們的port我都知道).請教學長們要如何設定??

3.以下是我的 acl及http_access檔的內容請參閱.

  acl檔的內容:

  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 127.0.0.1/255.255.255.255
  acl to_localhost dst 127.0.0.0/8
  acl SSL_ports port 443 563
  acl Safe_ports port 80          # http
  acl Safe_ports port 21          # ftp
  acl Safe_ports port 443 563     # https, snews
  acl Safe_ports port 70          # gopher
  acl Safe_ports port 210         # wais
  acl Safe_ports port 1025-65535  # unregistered ports
  acl Safe_ports port 280         # http-mgmt
  acl Safe_ports port 488         # gss-http
  acl Safe_ports port 591         # filemaker
  acl Safe_ports port 777         # multiling http
  acl CONNECT method CONNECT
  acl flag src 192.168.0.0 這是我自已定義的網段命名為flag

  http_access檔:

  http_access allow all
  http_access allow flag 我只允許flag可存取porxy
  http_access deny all


  4.這是我iptables的內容
    iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128


acl all 0.0.0.0
http_access allow all
醬不就所有的網路都可以存取你的proxy?
如果是用transparent proxy, 在client 端就不用設定啦.
另外, squid 並沒有代理所有的service吧,
像msn icq kazaa 就不是他管的囉
不過我有作過實驗, 在client 沒有放gateway 的情形
只有在IE 放proxy. 照理講應該只有網頁可以看, 別的服務都沒有, 連ping 都沒辦法出去
結果msn 居然可以用!!!! 真怪......
說真的7.3 的squid 很怪,
我之前用同樣的conf, 在7.2跟8.0可以跑, 但在7.3 不可以.
把squid 的error msg 貼上來看看?
或是log

42
引述: "netman"
netstat -anp

我在winxp 跟linux 下執行的結果都不一樣......
不過, 像kazaa 這類會亂跳port 的 (我鎖destination a 他就跑destination b, 鎖source c 他就用source d 跑), 而且server 也會亂跳的
有什麼方法可以用iptables 擋起來?
我想大部分p2p 的程式都是這樣吧?
除了把要用的port accept 其他drop 以外, 沒有別的方法了嗎?

43
我想把kazaa 用的port 鎖起來, 但是他好像都用不一樣的PORT?
那要怎樣找出他用的PORT 是哪些呢?

44
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-27 08:44 »
yes!!! 我成功了!!  :lol:  :lol:  :lol:  :lol:  :lol:  :lol:  :lol:
用 echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
不過routing 真的要先決定好
原來並不是那麼難
只要多看一點書, 認真找一下資料, 加上大家的幫忙
一定會成功的  :wink:  :wink:  :wink:

45
Linux 討論版 / Re: squid proxy server
« 於: 2002-10-26 21:05 »
引述: "sundy6719tw"
要設定squid proxy server 是不是要向上層parent proxy server申請註冊呢才能運作呢那要怎麼申請丫
還有/var/log/access.log這個檔不是access.log用戶端使用proxy的記錄檔嗎為什麼我啟動後也上了網而這個檔案怎麼都沒有任何資料丫....


是/var/log/squid/xxx.log
 :)

46
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-25 12:23 »
真是太高興了^^居然有人會對我的文章感興趣

先把10.0.0.0/24 這個網段去掉, 醬會清楚一點
引用
將253,254這兩個interface作成proxy_arp,又加上
packets filter可行嗎?我是說proxy_arp和packets
filter之間有沒有誰over誰;或是against對方的
問題呢?

http://www.linux.org.tw/CLDP/Adv-Routing-HOWTO-17.html
這裡有一篇關於arp proxy 的howto 可以看看
arp proxy 只是負責回應另一個網段的MAC 跟傳送packet 而已, 並沒有filter 的作用
但在傳送的同時, 由於會經過核心, 所以可以用iptables 做filter.
2個作用不同, 所以應該沒有over 或against 的問題
不知道這樣解釋對不對  :oops:  :oops:  :oops:

關於chain rules, 我的作法跟沒有用arp proxy 以前一樣, 沒有改變.
實做要看看有沒有什麼要改. 現在還只是紙上作業而已


引用
透過您所提共的網路topology,其中的routing table
實在是饒富趣味,尤其是:
200.73.*.129(dst) <- 200.73.*.253(gw)
小弟想請教這樣的entry能作用嗎?

這個routing table 是可以用的, 我已經試過了
其實邏輯是很簡單的
要連到0.0.0.0/0 要經過~129 (router) 這個host
而要連到 ~129(router) 這個host 則要經過~253
對內的話, 要連到~128/25 這個subnet 要經過~254
這樣就ok 了!
指令為
route add default gw ~129
route add -host ~129 eth2
route add -net ~128/25 eth0

我有找到幾個firewall+gateway+arp proxy 的實例,
可以參考一下
http://www.stat.fju.edu.tw/Teachonline/%E5%BB%96%E5%BB%BA%E7%BF%94/Linux/Router/router.htm

請問一下netman 學長,
switch 只是聰明一點的hub吧? 2個都在同一個layer 工作?

47
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-25 06:38 »
一開始我是這樣做ㄚ
2 張nic 然後 RH7.2, client 跟router 全部都放上同一個switch
問題來了~
如果client 端不乖, default gw 的地方放~129(router) 而不是~254(RH7.2)
packet 出去就不會經過 RH7.2 也沒辦法做filter
又, 如果沒放default gw, client 端的電腦會抓整個網段的第一台電腦做gw
也不會經過RH7.2
之所以用cross over 連線加上arp proxy, 是要強制讓所有packet 經過RH7.2
這樣可以控制所有的封包, firewall 也才能夠起作用

小弟不才, 只能想到這個solution  :oops:  :oops:  :oops:

48
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-24 18:07 »
arp 要手動一個一個加進去嗎?

49
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-23 10:32 »
疑?!?!! 真奇怪~
這裡有2個網頁跟上面有異曲同工之妙
http://www.fanqiang.com/a3/b3/20010604/090400339_b.html
http://www.bell.adsldns.org/network/network01.htm

其中一個居然寫著:
作者:Bell
 :o  :o  :o  :o  :o

50
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-23 10:20 »
剛剛又跑去找arp proxy 的資料
結果居然在google 找到
http://www.study-area.net/network/network_arp.htm
 :roll:  :roll:  :roll:

51
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-23 10:16 »
這2天又重想了一下
可以把eth2 跟 router 放在同一個subnet
變成200.73.*.128/26 (router + eth2) 跟200.73.*.192/26 網段 2個subnet
不過問題在
1) 網路公司給的router 它的ip 跟 mask 都已經設好了, 不太可能動吧?
    預設是~129/25, 跟eth2的mask 就不在同一個網段了
2) 假設沒有問題1, 2個subnet 也沒辦法進行broadcast 吧?

是否最好的解決方案為建立arp proxy?

52
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-22 07:31 »
真是不好意思呢~麻煩那麼多人 :oops:  :oops:  :oops:
剛剛又重翻了一下書~發現有一個錯誤的地方
就是當200.73.*.128/25 這個網段要找200.73.*.129/25時
一經MASK比對會發現2個同在一個subnet, 所以不會經過gw
又由於那2個不在同一個實體網段, 如果不經過gw 根本連不上
不過~連到0.0.0.0/0 又如何?.....

會浪費掉一半的ip 是指, 有些程式(像遊戲啦)在跑會用到廣播~
如果不在同一個網段就沒辦法吧?!
再說, 就算用26bit割, 前半段還是會跟129/26 分在一起, 問題又一樣??

現在要努力念一下arp-proxy,  :-?  :-?  :-?  在google 發現一些很有趣的文章

謝謝你!!

53
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-21 11:47 »
引述: "netman"
怪,x.x.x.128/25 的 subnet 怎麼與 129 這 router 放在一起?
254, 253 本就在同一 subnet 嘛,還說看過文章?

建議:
1) 可用 26bit 再切,分開 subnet
2) 或用 proxy arp 來解決


haha 被抓到念書不專心了 :D
如果用26bit 再切的話, 會有一半的ip 會浪費掉吧???
因為router 沒有接到switch, 是直接接到RH7.2耶
253,254 是在同一個subnet, 但是route table 應該沒錯啊?? 為什麼沒辦法forward?
照理講, client 端的gw 指向 254, 當RH7.2 接到這個packet 時就會順著自己的route table 去處理這個packet 了. 既然 local 端的routing 沒有不對, 為什麼 forward 不出去?

能否推薦幾篇proxy arp 的文章讓我讀一讀^^~小弟才疏學淺, 還要靠各位學長進修

54
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-21 11:10 »
在此附上網路藍圖, 這樣應該會清楚一點我在說什麼吧@@


硬體


邏輯


中間那台RH 7.2 的route 確定沒問題, mmmmmm 我認為應該沒問題吧@@
可以ping 到 10.0.0.0/24, 200.73.*.128/25, 200.73.*.129 (router), www.yahoo.com (DNS 跟 internet ok)

問題在於200.73.*.128/25 那個網路群沒辦法透過RH 7.2 forward 出去
可以ping 到 200.73.*.253~254, 但是跑不出去, 連router 也ping 不到
ip4forward 已開啟, iptables 為default. 沒有設定chains
請教一下各位學長, 在clients 端的route table 有關係嗎?

55
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-20 12:13 »
引述: "netman"
看完這篇再說吧:
http://www.study-area.org/tips/iproute.htm


mmmmmm.......
這篇文章我之前有參考過了
就是用那個idea 去設定的
不過問題在於~
linux server 的route 設定並沒有錯
可以連到 200.73.*.128/25 這個subnet (eth0)
10.0.0.0/24 也可以 (eth1)
200.73.*.129 router 也可以 (eth2)
ping 到 WAN 也可以~到網際網路都沒問題
本地端的route 好像都對
所以我想問題會不會是出在forward 的部分
謝謝你 :D

56
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-20 01:57 »
引述: "duncanlo"
~253/25 跟 ~129/25 是在一起的嗎?


yes, router (~129/25)跟 eth2 (~253/25) 用一條線連起來
並沒有通過switch

57
Linux 討論版 / 無法forward!!! 緊急!!
« 於: 2002-10-20 00:38 »
請問一下各位學長~
我有一台rh 7.2 的主機作gateway 的服務
之前可以forward 但是現在多加了一張nic卻沒辦法

eth0 200.73.*.254/25 接switch subnet 200.73.*.128/25
eth1 10.0.0.254/24 接switch subnet 10.0.0.0/24
eth2 200.73.*.253/25 接router ip 為 200.73.*.129/25 (這張是新加的卡)

route table
des                             gw                 netmask                  iface
200.73.*.129    200.73.*.253  255.255.255.255      eth2
200.73.*.128    200.73.*.254  255.255.255.128      eth0
200.73.*.128    0.0.0.0           255.255.255.128      eth0
200.73.*.128    0.0.0.0           255.255.255.128      eth2
127.0.0.0          0.0.0.0           255.255.255.255      lo
0.0.0.0             200.73.129.129 0.0.0.0                  eth2

ip4 forward 有開~
iptables 的policy 都是accept
chains 都沒設

關於route 的路徑是
到200.73.*.128/25 這裡是用eth0 出去 (LAN)
到200.73.*.129 (router) 是用eth2 出去 (200.73.*.253/25)
到0.0.0.0/0 是用 200.73.*.129 (router 的ip) 出去

在本機端route 沒問題, 可以連到internet 跟其他2個subnet (200.73.*.128/25 跟 10.0.0.0/24)

但是200.73.*.128/25 這個subnet 的機器沒辦法forward 過去
從200.73.*.130 ping 的結果為
200.73.*.254 (eth0) ok!
200.73.*.253 (eth2) ok!!
200.73.*.129 (router) NO responde!!><

卡在沒辦法過去router
自然也沒辦法到internet
><
有哪各部分有可能我疏忽掉嘛?
請賜教><

58
-P -I 跟-t nat PREROUTING 是差在優先權嘛?

59
Linux 討論版 / 救救我吧!!!PHP.............謝謝
« 於: 2002-10-13 20:05 »
chmod 755 *.php

60
又~如果有3各nic
eth0 連router 200.*.*.129/25
eth1 連subnet A 200.*.*.254/25
eth2 連subnet B 10.0.0.254/24

要擋掉到subnet A 跟 B 的奇怪封包
直接設定在eth0 就把packet drop 掉比較好
(例 iptables -I FORWARD -i eth0 -p tcp --dport 12345 -j DROP)
還是設定destination 為 eth1 跟eth2 的奇怪封包丟掉會比較好
(例 iptables -I FORWARD -d eth1 -p tcp --dport 12345 -j DROP)
(例 iptables -I FORWARD -d eth2 -p tcp --dport 12345 -j DROP)
如果以安全性為考量而不是性能的話

對不起^^例子可能寫的不對

又~如果只要 forward port 7777 其他的都要drop, 那個驚嘆號 ("!" 是not的意思吧?) 要放到哪裡?

頁: 1 [2] 3