...co mě tak napadlo.

Linux a ukázkový skript iptables

(14.08.2006, 00:24:42)
14521 zobrazení, 1 komentář, [Přidat komentář]

Protože jsem marně hledal nějakou funkční ukázku, jak zprovoznit na linuxu firewall iptables, hodím sem aspoň ukázku funkčního skriptu, který se spouští po startu PC, čímž zajistí jak alespoň částečné zabezpečení a zároveň routování a maškarádu pro vnitřní síť.
Řádky jsou zalomené na 80 znaků, pokud je nějaký řádek delší, je jeho pokračování odsazené od kraje
#!/bin/bash
echo "Starting firewall ..."
######## eth1 - vnitrni sit
######## eth0 - internet

VEN=eth0
DOVNITR=eth1
SERVERIP=192.168.0.1
PCIP=192.168.0.2

#Smazeme pripadne predchozi nastaveni firewallu
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Zavedeme moduly pro nestandardni cile
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

# Modul pro FTP prenosy
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Povoli IP forward
echo "1"> /proc/sys/net/ipv4/ip_forward

#Povoli DOS protection
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
iptables -N syn_flood
iptables -A INPUT -i $VEN -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP

#Zakaze Ping of death (povoli maximalne 5 pingu za vterinu)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit
      --limit 1/s --limit-burst 5 -j ACCEPT

#zakaz veskery provoz, ktery nebude dale upraveno
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Zakaze pristup na router z $VEN z pseudolokalnich IP
#(tyto IP nemaji v internetu co delat)
iptables -t nat -A PREROUTING -i $VEN -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i $VEN -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i $VEN -s 10.0.0.0/8 -j DROP

#Zakaze AUTH (ident)
iptables -A INPUT -p tcp -i $VEN --dport 113 -j REJECT

#povoli vstup ICMP
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT       #echo reply
iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT       #destination unreachable
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT       #Echo request
iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT      #time exceeded

#povoli veskery vstup z lo a eth1, vstup z eth0 je zakazany vyjma ICMP viz vyse
iptables -A INPUT -p ALL -i $DOVNITR -j ACCEPT
iptables -A INPUT -p ALL -i lo -j ACCEPT

#povoli vse z vnitrku smerujici na ven
iptables -A FORWARD -i $DOVNITR -o $VEN -j ACCEPT

#povoli vstup zvenci na loopback existujicich spojeni
iptables -A INPUT -i $VEN -m state --state ESTABLISHED,RELATED -j ACCEPT

#Zapne maskaradu
iptables -t nat -A POSTROUTING -o $VEN -j MASQUERADE

#####Povoleni jednotlivych portu
echo "Allowing ports..."

echo "FTP ve vnitrni siti..."
# FTP server
iptables -t nat -A PREROUTING -p tcp -i $VEN --dport 20 -j DNAT --to $PCIP:20
iptables -t nat -A PREROUTING -p tcp -i $VEN --dport 21 -j DNAT --to $PCIP:21
iptables -A FORWARD -i $VEN  -p tcp -d $PCIP --dport 20
      -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $VEN  -p tcp -d $PCIP --dport 21
      -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

echo "SSH..."
#Povoleni SSH
iptables -A INPUT -p tcp -i $VEN --dport 22 -j ACCEPT

echo "HTTP..."
#Povoleni pristupu na HTTP na router z venku
iptables -A INPUT -p tcp -i $VEN --dport 80 -j ACCEPT

echo "Another aplication..."
#Libovolna dalsi sluzba poslouchajici na vnitrnim PC na portu 3724
iptables -t nat -A PREROUTING -p tcp -i $VEN --dport 3724 -j DNAT --to $PCIP:3724
iptables -t nat -A PREROUTING -p udp -i $VEN --dport 3724 -j DNAT --to $PCIP:3724

#loguje pakety, ktere nebyly povolene
iptables -A INPUT -j LOG

: exit 0
Neříkám, že tato konfigurace je nejleší, ale každopádně je funkční, což je do začátku práce s iptables to nejdůležitější ;)


Napsal Yim || 14.08.2006, 00:24:42 || Trvalý odkaz

Linux - Wifi karta ASUS WL-107g

(3.03.2005, 12:14:55)
17321 zobrazení, [Přidat komentář]

Protože se mi na notebooku nějak pokazila integrovaná wifi karta a taky proto, že se notebooku nehodlam zbavovat ani na den ;), koupil jsem si PCMCIA wifi.
První co jsem samozřejmě udělal bylo, že jsem ji šoupl do ntb a jal se instalovat ovladače pro linux. První zádrhel byl hned v tom, že můj MDK neměl standartně zapnutou PCMCIA. Po půlhodině se snažení, googlování a jiných srandiček mě napadlo podívat se, jestli teda PCMCIA běží. #service pcmcia restart mi odpověděl, že služba byla opravdu zastavená. Karta se vesele rozblikala a jádro odpovědělo, že opravdu našlo kartu s chipsetem Ralink, ovšem samotna instalace driveru se nepovedla. Po několikadením lopocení se na googlu a jinde jsem konečně našel řešení. Stáhnul jsem zdrojové kódy pro tento chipset přímo od výrobce a překompiloval jsem si je sám znova. Verze, kterou dodával výrobce byla totiž určena pro jádro 2.6.4, což mě poněkud nevyhovovalo, neboť mám jádro 2.6.8. Kvůli kompilaci jsem do systému přidal několik balíčků, jako například gcc, karnel-source, etc a světe div se, klasický "linux-trojhmat" #./configure #make #make install fungoval bez problémů. Službu pcmcia jsem přidal mezi spouštěné při startu. Provedl restart počítače a karta byla úspěšně načtena. Poté instalace sítě proběhla pomocí drakconfu již bez problémů. Pro výběr sítí teď používám výrobcem dodanou utilitku RaConfig a vše běží bez nejmenšího problému.


Napsal Yim || 3.03.2005, 12:14:55 || Trvalý odkaz

BPA 2004

(3.10.2004, 18:26:33)
10928 zobrazení, [Přidat komentář]

Tak sem se konečně rozhoupal a mám tu fotky z Bitvy pěti armácd v Krnově. Moje fotky jsou tady: http://www.abramikulcice.cz/gallery/thumbnails.php?album=16 Co nejdřív ještě přibudou zase fotky od Aidy.

Napsal Yim || 3.10.2004, 18:26:33 || Trvalý odkaz

Tábor Slovensko 2004

(7.08.2004, 15:59:16)
18846 zobrazení, 3 komentáře, [Přidat komentář]

Tak už sem se konečně dostal i k fotkám z tábora na Slovensku, takže fotky najdete na adrese http://www.abramikulcice.cz/gallery/index.php Pokud chcete některou fotku v originální velikosti (1024*768), pak mě můžete napsat na e-mail, nebo na ICQ (obě najdete vlevo dole v menu). Další fotky najdete u Mařina na jeho webu http://piharek.webzdarma.cz/. O ostatních nevim, ale když o nějakých budu vědět, připíšu to sem :)

Napsal Yim || 7.08.2004, 15:59:16 || Trvalý odkaz

Zlenice 2004

(27.06.2004, 23:29:52)
26532 zobrazení, [Přidat komentář]

Takže pro zájemce už jsou konečně fotky ze zlenic.... Všechny je najdete tady: http://www.abramikulcice.cz/gallery/thumbnails.php?album=13 Pokud by někdo měl zájem o některou fotku v původní velikosti (1024*768) nechť se hlásí na Yim zavináč eyim tečka net

Napsal Yim || 27.06.2004, 23:29:52 || Trvalý odkaz

26.4.1986

(26.04.2004, 20:28:06)
23066 zobrazení, [Přidat komentář]

Dnes je to rovných osumnáct let, co se stala taková nepatrná nehoda.
Přesně před osumnácti lety byla na čtvrtém reaktorovém bloku zaznamenána katastrofální chyba operátorů v Jaderné elektrárně Černobyl v bývalém SSSR. Při samotné havárii zemřelo 31 lidí, přes 1000 bylo přímo ozářeno, přes 100.000 lidí bylo evakuováno a miliony pociťují důsledky dodnes. I dnes se stále staví jaderné elektrárny. Operátoři jsou sice již mnohem více informovaní, co a jak, ale taková elektrárna se dá, řekl bych nepříliš složitě, využít jako cíl pro teroristy a jiné živly. Likvidace "vyhořelého" paliva také není úplně dořešená. Říkám vyhořelého, ale každý jistě ví, že to, co už se pro JE použít nedá, má smrtelné účinky ještě stovky let. Nejsem nucleoskeptik, ale přece jen by lidé měli začít hledat lepší způsoby.Nejsem si jistý, nakolik je pokrok v jiných odvětvích, ale i na tom, že ropné společnosti vývoj jiných paliv zdržují, bude taky něco pravdy. Holt peníze hýbou světem. Organizece zelených, filajových a vůbec všelijakých barevných sice proti například Temelínu protestují, ale to jsou protesty zase jen pro peníze. Několik let jim určitá věc nevadí a najednou se seberou a blokují dva kamiony vezoucí palivo. To podle mě není normální vývoj. IMHO to vlastně nikoho nezajímá, snad až na pár jedinců, kteří někde u sebe skromě publikují články, které vlastně nabádají proti těmto časovaným bombám. Ale kdo by poslouchal nějakého Pepu Nováka. Proti jaderným elektrárnám nejde bojovat, alespoň ne do té doby, než páni vědátoři nevymyslí něco účinějšího a hlavně levnějšího. A i potom bude velký problém co se stávajícím odpadem. Třeba snad taky někdo vymyslí, co s ním. Takže se alespoň snažmě to "něco" vymyslet co nejrychleji.


Napsal Yim || 26.04.2004, 20:28:06 || Trvalý odkaz