forum.opennet.ru - "Открыть порты на брандмауэре" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Открыть порты на брандмауэре"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Открыть порты на брандмауэре"
Сообщение от DNick (ok) on 08-Июл-05, 11:36 (MSK)
Господа возник следующий вопрос, недавно поднял новый сервак, фаерволом закрыто по минимуму, через некоторое время заметил что катастрофически утекает трафик(что неудивительно), заметил несколько спуфоверов, даунов пытающихся подключиться по ssh и прочих хакеров-имбицилов, решил настроить фаервол, почитал статьи. Настроил :)))))) Теперь трафика не утекает, но есть проблема, прокся тоже не работает, подскажите какие порты надо открыть для прокси-сервера(провайдер не пускает на свй прокси, по этому открытие 53 и 8080 не помогает). А маскарадить все машины это по моему не есть хорошо.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Открыть порты на брандмауэре, шзефидуы, 13:00 , 08-Июл-05, (1)
- Открыть порты на брандмауэре, DNick, 13:23 , 08-Июл-05, (2)
  - Открыть порты на брандмауэре, _CaT_, 13:39 , 08-Июл-05, (3)
  - Открыть порты на брандмауэре, achist, 13:47 , 08-Июл-05, (4)
    - Открыть порты на брандмауэре, DNick, 14:15 , 08-Июл-05, (5)
      - Открыть порты на брандмауэре, шзефидуы, 18:08 , 08-Июл-05, (6)
Открыть порты на брандмауэре, Byte, 01:58 , 20-Июл-05, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Открыть порты на брандмауэре"

Сообщение от шзефидуы on 08-Июл-05, 13:00  (MSK)

Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться у тебя под прокси. Если Squid, то скорее всего 3128 или 8080. В таком случае необходимо написать правило -
iptables - A INPUT -i eth1 -p tcp --dport 3128 - s 192.168.0.0/24 -j ACCEPT
где eth1 - интерфейс, к которому подсоединена локальная сеть
--dport 3128 - порт прокси сервера
- s 192.168.0.0/24  -  дипазон адресов локальной сети
Попробуй этот вариант

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Открыть порты на брандмауэре"

Сообщение от DNick (ok) on 08-Июл-05, 13:23  (MSK)

>Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться
>у тебя под прокси. Если Squid, то скорее всего 3128 или
>8080. В таком случае необходимо написать правило -
>iptables - A INPUT -i eth1 -p tcp --dport 3128 - s
>192.168.0.0/24 -j ACCEPT
>
>где eth1 - интерфейс, к которому подсоединена локальная сеть
>--dport 3128 - порт прокси сервера
>- s 192.168.0.0/24  -  дипазон адресов локальной сети
>
>Попробуй этот вариант
Непроходит. Я вообще пытался открыть все что упоминается в squid.conf
вот кусок конфига для фаервола
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 70 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 70 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 210 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 210 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 488 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 488 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 591 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 591 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 53 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 53 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 16 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 16 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 8080 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 8080 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3130 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3130 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3128 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3128 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 4827 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 4827 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 4828 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 4828 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3135 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3135 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 80 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 80 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 443 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 443 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 563 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 563 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 280 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 280 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 777 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 777 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 21 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 21 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3401 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3401 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 10005 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 10005 -j ACCEPT
/sbin/ipchains -A input -d $ALLINET -i eth0 -p 3131 -j ACCEPT ## squid
/sbin/ipchains -A output -d $ALLINET -i eth0 -p 3131 -j ACCEPT
Так сквид валиться(даже в логи ничего не скидывает)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Открыть порты на брандмауэре"

Сообщение от _CaT_ on 08-Июл-05, 13:39  (MSK)

беда.... :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Открыть порты на брандмауэре"

Сообщение от achist (??) on 08-Июл-05, 13:47  (MSK)

Достойный дон. А счего вы взяли что проблема в iptables это раз и два какие вы правила имеете для интерфейса lo?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Открыть порты на брандмауэре"

Сообщение от DNick (ok) on 08-Июл-05, 14:15  (MSK)

>Достойный дон. А счего вы взяли что проблема в iptables это раз
потому как если удалить все цепочки(или поднять старый конфиг), то все работает
>и два какие вы правила имеете для интерфейса lo?
для lo
/sbin/ipchains -A input -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT
/sbin/ipchains -A output -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT
но это слабо помагает (скажем прямо нифига)
P.S. Народ, если поможет я могу выложить полный текст.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Открыть порты на брандмауэре"

Сообщение от шзефидуы on 08-Июл-05, 18:08  (MSK)

Для lo должно быть:
-A INPUT  -i lo -j ACCEPT
Может ты не тот интерфейс указал eth0  ?
@@@ -A output -d $ALLINET -i eth0 @@@
Когда пишешь output, то надо писать "-o eth1"
А для того, чтобы вредители не лазили по ssh и telnet, необходимо закрыть порты 22и 23.
Есить еще конфигурационные файлы hosts.allow и hosts.deny

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Открыть порты на брандмауэре"

Сообщение от Byte (ok) on 20-Июл-05, 01:58  (MSK)

>Господа возник следующий вопрос, недавно поднял новый сервак, фаерволом закрыто по минимуму,
>через некоторое время заметил что катастрофически утекает трафик(что неудивительно), заметил несколько
>спуфоверов, даунов пытающихся подключиться по ssh и прочих хакеров-имбицилов, решил настроить
>фаервол, почитал статьи. Настроил :))))))
>  Теперь трафика не утекает, но есть проблема, прокся тоже не
>работает, подскажите какие порты надо открыть для прокси-сервера(провайдер не пускает на
>свй прокси, по этому открытие 53 и 8080 не помогает). А
>маскарадить все машины это по моему не есть хорошо.

Если у вас по умолчанию фаерволл закрывает все, то чтобы сквид работал надо открыть все исходящие запросы от твоего сервера в интернет.Порт сквида так же должен быть открыт в локалку.Когда клиент пытается ломиться в инет через прокси то сквид создает сокет на произвольном порту внешнего интерфейса и соответственно нужно чтобы все порты были открыты для исходящих запросов.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Открыть порты на брандмауэре"
Сообщение от шзефидуы on 08-Июл-05, 13:00 (MSK)
Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться у тебя под прокси. Если Squid, то скорее всего 3128 или 8080. В таком случае необходимо написать правило - iptables - A INPUT -i eth1 -p tcp --dport 3128 - s 192.168.0.0/24 -j ACCEPT где eth1 - интерфейс, к которому подсоединена локальная сеть --dport 3128 - порт прокси сервера - s 192.168.0.0/24 - дипазон адресов локальной сети Попробуй этот вариант
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Открыть порты на брандмауэре"
	Сообщение от DNick (ok) on 08-Июл-05, 13:23 (MSK)
	>Боюсь ошибиться, но мне кажется, что тебе надо знать какой порт используеться >у тебя под прокси. Если Squid, то скорее всего 3128 или >8080. В таком случае необходимо написать правило - >iptables - A INPUT -i eth1 -p tcp --dport 3128 - s >192.168.0.0/24 -j ACCEPT > >где eth1 - интерфейс, к которому подсоединена локальная сеть >--dport 3128 - порт прокси сервера >- s 192.168.0.0/24 - дипазон адресов локальной сети > >Попробуй этот вариант Непроходит. Я вообще пытался открыть все что упоминается в squid.conf вот кусок конфига для фаервола /sbin/ipchains -A input -d $ALLINET -i eth0 -p 70 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 70 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 210 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 210 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 488 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 488 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 591 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 591 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 53 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 53 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 16 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 16 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 8080 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 8080 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 3130 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 3130 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 3128 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 3128 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 4827 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 4827 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 4828 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 4828 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 3135 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 3135 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 80 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 80 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 443 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 443 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 563 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 563 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 280 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 280 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 777 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 777 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 21 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 21 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 3401 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 3401 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 10005 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 10005 -j ACCEPT /sbin/ipchains -A input -d $ALLINET -i eth0 -p 3131 -j ACCEPT ## squid /sbin/ipchains -A output -d $ALLINET -i eth0 -p 3131 -j ACCEPT Так сквид валиться(даже в логи ничего не скидывает)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Открыть порты на брандмауэре"
	Сообщение от _CaT_ on 08-Июл-05, 13:39 (MSK)
	беда.... :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Открыть порты на брандмауэре"
	Сообщение от achist (??) on 08-Июл-05, 13:47 (MSK)
	Достойный дон. А счего вы взяли что проблема в iptables это раз и два какие вы правила имеете для интерфейса lo?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Открыть порты на брандмауэре"
	Сообщение от DNick (ok) on 08-Июл-05, 14:15 (MSK)
	>Достойный дон. А счего вы взяли что проблема в iptables это раз потому как если удалить все цепочки(или поднять старый конфиг), то все работает >и два какие вы правила имеете для интерфейса lo? для lo /sbin/ipchains -A input -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT /sbin/ipchains -A output -i $LOOPBACKIF -s 0/0 -d 0/0 -j ACCEPT но это слабо помагает (скажем прямо нифига) P.S. Народ, если поможет я могу выложить полный текст.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Открыть порты на брандмауэре"
	Сообщение от шзефидуы on 08-Июл-05, 18:08 (MSK)
	Для lo должно быть: -A INPUT -i lo -j ACCEPT Может ты не тот интерфейс указал eth0 ? @@@ -A output -d $ALLINET -i eth0 @@@ Когда пишешь output, то надо писать "-o eth1" А для того, чтобы вредители не лазили по ssh и telnet, необходимо закрыть порты 22и 23. Есить еще конфигурационные файлы hosts.allow и hosts.deny
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

7. "Открыть порты на брандмауэре"
Сообщение от Byte (ok) on 20-Июл-05, 01:58 (MSK)
>Господа возник следующий вопрос, недавно поднял новый сервак, фаерволом закрыто по минимуму, >через некоторое время заметил что катастрофически утекает трафик(что неудивительно), заметил несколько >спуфоверов, даунов пытающихся подключиться по ssh и прочих хакеров-имбицилов, решил настроить >фаервол, почитал статьи. Настроил :)))))) > Теперь трафика не утекает, но есть проблема, прокся тоже не >работает, подскажите какие порты надо открыть для прокси-сервера(провайдер не пускает на >свй прокси, по этому открытие 53 и 8080 не помогает). А >маскарадить все машины это по моему не есть хорошо. Если у вас по умолчанию фаерволл закрывает все, то чтобы сквид работал надо открыть все исходящие запросы от твоего сервера в интернет.Порт сквида так же должен быть открыт в локалку.Когда клиент пытается ломиться в инет через прокси то сквид создает сокет на произвольном порту внешнего интерфейса и соответственно нужно чтобы все порты были открыты для исходящих запросов.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]