Iptables i redhat 7.1

ekstra point http://www.eksperten.dk/spm/181222

De ekstra point kan hentes after svar på http://www.eksperten.dk/spm/181222

flot lynx

Ups *gg* der var jeg sq lidt sent ude!

opgrader jeres kernel?

nej det kan vi sQ ik find ud af vi er begge newbies

heh..ligesom mig ;)

jeg ved ikke om man opgrader iptables??

Har jobbet en del med denne problemstillingen. Saken er den at det i de inneværende versjoner av Linux skjer et slags generasjonsskifte i teknologi når det gjelder firewalling / routing osv. Red Hat 7.1 og 7.2 leveres for eksempel med ipchains som default og ikke iptables som man kanskje skulle tro. Grunnen er vel i all enkelhet at Red Hat ser en viss nødvendighet i å levere en firewall / routing løsning som er tilstrekkelig enkel og funksjonell til at brukerne kan anvende tingene i praksis. Derfor brukes forsatt ipchains, men det er også mulig å ta i bruk iptables (2.4.x kjernen har begge deler.)
Kan iptables eventuelt brukes, eller er det et mål i seg selv på grunn av et prosjekt eller lign at det må være iptables og ikke ipchains (som ellers godt kan gjøre jobben) ?

Huff, det skulle ikke være et svar, bare et spørsmål, unskyld.

Man kan ellers "oppgradere" til iptables med de fordeler og ulemper som dette medfører.

Hvis målsettingen bare er å få til noe som fungerer, så se her:
http://www.eksperten.dk/spm/178157

langbein: tak for oplysningerneom iptables/ipchains. Ang. ipchains har du links til guides for total newbies. om hvordan man sætter det op osv.

tak for oplysningerne om iptables/ipchains. Ang. ipchains har du så nogle links til guides for total newbies ??

hovsa

Hvis man skal ha firewall og routing / masquerading forholdsvis enkelt og ukomplisert så kan man benytte Red Hat sitt standardoppsett som er basert på ipchains og det grafiske konfigurasjonsverktøyet firewall-config. Denne har også en ganske enkel og grei help funksjon. Firewall-config er forholdsvis enkel å ha med å gjøre, og man får det stort sett til. Se linken til spørsmålet over. Vil man ha en litt mer avansert løsning så bruker man firewall konfigurasjonsvertøyet i linuxconf. Det er ikke synlig og tilgjengelig i utgangspunktet men man kan hente det fram. Dette er mer avansert enn firewall-config. Eventuelt så kan man lage script ut fra ipchains regelsett (Det er jo dette som de grafiske verktøyene genererer automatisk.) Når det gjelder iptables og Red Hat eller LInux i det hele vil jeg tro så er det kanskje ennå litt tidlig for denne teknologien slik at man må regne med problemer. Har installert det på en maskin etter en del arbeidstimer og det fungerer. Installerte det på en annen maskin, helt likt, trodde jeg, men der fungerer det ikke.

Denne linken gir en beskrivelse av den tenologien som nok er på vei ut, men som stadig vekk er hovedprinsippet både hos Red Hat 7.1 og 7.2.:
http://www.sslug.dk/linuxbog/sikkerhed/bog/linux-firewalling.html

ok men skal lige have forklaret noget om routningen mellem netkortene, som der står i det link jeg har nævnt gives IP adr.

INTIP=10.0.0.1
EXTIP=192.168.0.1

kan dette skrives i root/  ????

oki nu virker noget af det

jeg kan pinge (fra klient)
intern netkort på linuxboxen
ekstern netkort på linuxboxen

på linuxboxen kan jeg pinge
intern net
ekstern net (internet)


problemet er nu mine klienter kan ikke pinge ekstern
hvordan kan vi løse dette problem

hvordan lukker jeg for alle porte ind?
hvordan åbner jeg for de enkelte porte efterhånden som jeg skal bruge dem?
og ligeledes udaftil... hvis der skal lukkes for fx. Kazaa.dk

Jeg vil også gerne vide hvordan vi kan kontrollere den fremover, hvordan man kan se hvad der er lavet, der må jo vær een tabel et sted hvor man kan se hvad der er aktiveret, hvem der har adgang, og hvem der ikke har.... :)

Hva er det som kjører ? Er tingene konfigurert via det grafiske konfigurasjonsverktøyet, firewall konfig ?
Når det gjelder status for hva som kjører så er det i utgangspunktet enkelt:

Event for ipchains: "ipchains -L"
Event for iptables: "iptables -L" og "iptables -t nat -L"
(Bruker man iptables så kan denne listingen faktisk vise seg å gi feil
innhold, under visse forutsetninger, mens for ipchains så er den rett.)
(Dette skyldes en ganske besværlig bug i iptables installasjonen.)

Når det ellers gjelder det å sette opp nettverkskort og slikt, så synes jeg det er enklest å bruke "linuxconf" til dette. Finnes også i x-win versjon (gnome-linuxconf eller noe slikt). linuxconf installeres ikke som default men må velges inn eller etterinstalleres.

Du/dere må opplyse hva dere har satt opp og om det går bra å kjøre grafisk / og eller ipchains (text mode) eller om det må være iptables.
Framgangsmåten blir jo eventuelt litt forskjellig.

Når det ellers gjelder det å pinge, så hadde jeg faktisk problemer med dette når jeg kjørte via firewall-config. Det skulle fungere men det gjorde ikke det. De øvrige tingene fungerte stort sett.

det eneste som kører nu er ping

jeg kan pinge (fra klient)
intern netkort på linuxboxen
ekstern netkort på linuxboxen

på linuxboxen kan jeg pinge
intern net
ekstern net (internet)

der må være et eller andet på linuxen der blokere for trafik fra intern net til ekstern net

er lige blevet gjort opmærksom på at der findes en grafisk konfigurations-mulighed under gnome>programmer>system>firewall-config

er den noget værd
for os der ikke er vandt til andet end windows

Nu virker det hele sQ, ved bare ikke hvad vi har lavet???

*GG*

TGM

men firewall er der ikke ret meget i
følgende porte står åbne

22:
80: http
111:
139: netbios
443: https
1024:
6000:
10000: webmin

hvad er der på de andre porte
og kan jeg lukke den af???

Har dere kjørt portscan med nmap med en annen Linux maskin utenfra ?
Hvordan laget dere tingene med firewall-config ? I så fall enkelt å sette til firewall regler.
Hva som er status nå det får du/dere ved å kjøre kommando "iptables -L"
(Eventuelt itables -L hvis dere har endret installasjonen til dette.)
Hva vises som status ??

Rettelse: "ipchains -L" (Default oppsett fra Red Hat)
"iptables -L" Hvis dere har innført endring til iptables.

langbein du ved ikke hvad der er på de andre porte

iptables -L  er noget jeg vil prøve imorgen for jeg har ikke maskinen her hos mig nu

Du mener at det er andre aktive porter som firewall holder stengt ?
Hvis du kjører kommando "top" så ser du hvilke demoner som kjører.
Skift M = sortert på minnebruk. Skift P = sortert på prosessorbruk.
Ellers så kan man også se på oversikten over igangværende prosesser inne i linuxconf. Da ver man hva som kjører inne i maskinen.
"ipchains -L" vil normalt gi en oversikt over hvilke porter som er lukket / åpen / forwardet event masqueradet. Portscan med nmap utenfra skulle normalt sjekke at tingene fungerer. (Håper jeg husker rett.) :)

oki det vil jeg så tjekke imorgen

nu har vi en halvt virkende løsning, men Langbein du skal have lidt point som tak for din hjælp.

TGM & Lynx-DLK

Hvilken morgen ? :-)

Har ellers satt opp 3 maskiner her med iptables i stedet for ipchains og fått det til å fungere med NAT og slike ting, men der var heller besverlig å få til. Det er betydelig enklere å benytte seg av ipchains og ellers å bruke for eksempel linux-config. Hvordan går det med prosjektet ??
ipchains regler og eventuelt

Hej igen :)

Vi har fået iptables til at virke, og vi har fået lavet os en firewall fil, som jo så skal køre i runlevel 3, altså når vi starter serveren op.
Så den har vi lavet, men der er et problem, for den siger at den starter filen godt nok op, når maskinen startes, men den har ikke accepteret alle de parametre vi har skrevet i den fil, så det vil sige at det ikke vil køre. men når vi så går ud i konsollen, og skriver alle parametrene selv, så kører den bare derudaf..

Hvad kan der være galt?

Pussig, vi skrev visst innlegg samtidig. Takker for ponits !

Det virkelig viktige i saken med iptables/ipchains og Red Hat 7.1/7.2 det er at iptables installasjonen inneholder en bug som gjør at den i utgangspunktet ikke vil kjøre i hvert fall ikke med de avanserte funksjonene operative uansett hvilke script man legger inn. (Script
i ipchains fungerer der i mot.) Denne bug må først repareres før man får tingene til å fungere.

hvilken bug????

har du et link der beskriver bug'en

Det skrev vi visst samtidig på nytt igjen ...

... Og det spesielle med denne bug, det er at den ikke synes på annen måte enn at man kopler serveren opp i nettverk og så fungerer det ikke, det som tilsynelatende skulle fungere. Man får med andre ord feil og missvisende informasjon når man kjører statusinfo vha "iptables -L" eller "iptables -t nat -L". Tingene kjørter tilsynelatende, men i virkeligheten ikke. Denne problemstillingen er ikke med iptables.

..chains

Har ikke funnet denne bugs beskrevet noe sted på nettet.

Hej igen :)

Vi har fået iptables til at virke, og vi har fået lavet os en firewall fil, som jo så skal køre i runlevel 3, altså når vi starter serveren op.
Så den har vi lavet, men der er et problem, for den siger at den starter filen godt nok op, når maskinen startes, men den har ikke accepteret alle de parametre vi har skrevet i den fil, så det vil sige at det ikke vil køre. men når vi så går ud i konsollen, og skriver alle parametrene selv, så kører den bare derudaf..

Hvad kan der være galt?

har du husket #!/bin/sh

# !/bin/sh
skulle det vist ha været har lige fået det at vide idag

ja, ja, what ever. bare lortet virker!! :-)