Početak›Forumi›Linuks›Linuks umrežavanje›Zasto LAN => FW za HTTP protokol?
- This topic has 3 odgovora, 3 glasa, and was last updated 15 years, 10 months ranije by foxbunny.
-
AutorČlanci
-
15. maj 2008. u 9:59 pm #10095foxbunnyUčesnik
Postavljam Shorewall i nikako ne mogu na net iz LANa. I nece i nece. U jednom momentu se setim (bolje ikad nego nikad, zar ne?) da pogledam log fajl, i vidim da kad u browseru zatrazim neku stranicu, onda paketi idu pravo na FW umesto kroz njega na WAN.
Kad u /etc/shorewall/rules stavim
[code]
Web/ACCEPT loc $FW
[/code]Onda hoce da me pusti na net. I to tako funkcionise bez obzira na to sto imam
[code]
Web/ACCEPT loc net
[/code]U cemu je stos?
Zajebao sam se za ovo prvo pravilo. Nije to nego:
[code]
ACCEPT loc $FW udp
[/code]Dakle, zasto to mora?
16. maj 2008. u 8:06 am #70059popeyeGlavni majstorNe poznajem shorewall (lakše bi mi bilo da daš stanje za iptables), ali ako pitaš zašto ti je udp potreban – najverovatnije dns upiti po portu 53.
16. maj 2008. u 8:16 am #70060MisterNoUčesnik– imas u fajlu policy policiju na globalnom nivou i najbolje da tu podesis sve kako treba
– u fajl rules se nalaze exceptioni sta ces da pustis ili ne van policy fajla. prvo se izvrsava policy pa rulesprobaj da stavis policiju tako da ti
fw loc accept
loc fw accept
all net accept
net all drop infopre toga u fajlu interfaces definises zone koje su lokalne a koje su net odnosno restriktivne. u svakom slucaju imas
“man shorewall-policy” i izbacice ti objasnjenje16. maj 2008. u 9:22 am #70061foxbunnyUčesnikDa, to je to! Thx. Port 53. Nisam odmah primetio da je taj port. Znaci sad treba da stavim “DNS/Accept loc $FW” i to bi trebalo da resi problem. Potpuno sam zaboravio da dnsmasq radi kao DNS server za masine sa LANa.
A iptables su poceti da proucavam na osnovu setovanja koje napravi Shorewall, mislim da mi je tako najlakse da ucim iptables.
Posto je meni LAN povezan na gateway preko Wifi rutera, onda zelim da mi pravila budu skroz strict. U sustini, ovo sve radim samo radi vezbe, pa mi dodatno odgovara sto mogu da (sa)znam tacno sta koja masina koristi od portova i servisa. Zato mi je sve u policy tabeli na REJECT. I onda gledam log fajl, otvaram samo putanje koje mislim da treba da budu otvorene. A imam i jednu Win masinu na LANu, pa mi je to dodatna sigurnost. 🙂
-
AutorČlanci
Moraš biti prijavljen da bi postavio komentar u ovoj temi.