Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Apache.....server name
View unanswered posts
View posts from last 24 hours

Goto page Previous  1, 2, 3  Next  
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 8:41 am    Post subject: Reply with quote

Als je op voorhand wil weten of je je kernel moet herconfigureren post dan de uitvoer van dit commando hier:
Code:
grep IP_NF /usr/src/linux/.config

en als dit ook te veel uitvoer is kan je het ook eerst naar een bestand sturen:
Code:
grep IP_NF /usr/src/linux/.config > /home/azerix/bestand


Nog is sorry voor je post aan te passen...
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 4:43 pm    Post subject: Reply with quote

Geef niet oohr,

Ik heb jouw howto gevolgd, en sommige coden werken niet. Ik greek allerlei berichten. Voorbeeld:

als ik deze code probeer:

Quote:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"

dan krijg ik het volgede
Quote:

iptables v1.2.11: -P requiers a chain and a policy

en vervolgens als ik deze wil proberen, dan krijg ik iets met bad rule
Quote:

iptables -t nat -o eth1 -D POSTROUTING -j MASQUERADE && iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"

bad rule : bla......exist

dus het einige wat ik deed is iptables -p tcp -A INPUT --dport 80 -j ACCEPT && echo . en verlongens wijzig ik in apache listen poort naar 80, en dan mijn webserver is alleen beschikbaar op locale netwerk.
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Sun Jan 30, 2005 4:52 pm    Post subject: Reply with quote

Zucht.. ik zal het nogmaals proberen uit te leggen:
Aangezien deze machine direct aan het Internet verbonden is, is iptables niet nodig om de webserver te bereiken.
Het is alleen wel een heel goed idee om een firewall te configureren tegen aanvallen van buitenaf.
Dus: schakel iptables in zn geheel uit:
Code:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

En probeer de webserver te bereiken.
_________________
>>> emerge (3 of 7) mcse/70-293 to /
Essential tools: gentoolkit eix profuse screen
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 4:58 pm    Post subject: Reply with quote

Deze 2 foutmeldingen komen door typfouten van mij (ik heb deze verbeterd in mijn oorspronkelijk bericht)
Probeer het nog is vanaf het begin van dat bericht.

Adaptr heeft gelijk, iptables is niet nodig voor de webserver te bereiken, maar iptables is wel nodig als je wilt dat alle andere computers ook online geraken en als je beveiliging van je netwerk wilt.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 5:03 pm    Post subject: Reply with quote

Dat kan niet, als ik NAT uitzet dan heb ik totaal geen internet meer, aan de hand van NAT alle computers die verbonden zijn aan router(gentoo), krijgen het internet toegang. Of heb ik het verkeerd begrepen.

NAT = (Network Address Translation) door NAT krijgen de interne computers een intern IP adres, zoals 192.168.0.x en cetera.
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 5:13 pm    Post subject: Reply with quote

Dat klopt idd. Het is mogelijk om NAT te doen zonder iptables, maar dit is moeilijker en dan heb je het voordeel van een firewall niet.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 6:29 pm    Post subject: Reply with quote

Garo, het werkt niet , ik krijg fout melding als ik deze code gebruik
Quote:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"


foutmelding is
Quote:

iptables v1.2.11: -P Bad `RELATES´
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Sun Jan 30, 2005 6:46 pm    Post subject: Reply with quote

Je zult de oude (foutieve) rules eerst moeten verwijderen uit het opgeslagen opstartscript.
Bekijk hoe de huidige regels eruitzien met:
Code:
iptables -L

_________________
>>> emerge (3 of 7) mcse/70-293 to /
Essential tools: gentoolkit eix profuse screen
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 6:48 pm    Post subject: Reply with quote

Of je hebt "RELATES" ipv "RELATED" getypt, of "-P" ipv "-A".

Kan je het nog is proberen (begin van het begin zodat alle regels gewist worden, dan is er geen kans op dubbele regels)
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 7:27 pm    Post subject: Reply with quote

ik heb geen type fout gemaakt , dat weet ik zeker, ik had getypt wat er op stat, gewoon over type, en ik had deze keer goed gecontroleerd.
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 7:45 pm    Post subject: Reply with quote

Laten we is zien of we je kernel wel goed geconfigureerd is:
Code:
grep IP_NF /usr/src/linux/.config | grep -v ^\# > bestand

_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 9:12 pm    Post subject: Reply with quote

dit is mijn config:


Quote:

CONFIG_IP_NF_CONNTRACK=y
# CONFIG_IP_NF_CT_ACCT is not set
# CONFIG_IP_NF_CONNTRACK_MARK is not set
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
# CONFIG_IP_NF_FTP is not set
# CONFIG_IP_NF_IRC is not set
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
CONFIG_IP_NF_QUEUE=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_IPRANGE=y
CONFIG_IP_NF_MATCH_MAC=y
CONFIG_IP_NF_MATCH_PKTTYPE=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_TOS=y
CONFIG_IP_NF_MATCH_RECENT=y
CONFIG_IP_NF_MATCH_ECN=y
CONFIG_IP_NF_MATCH_DSCP=y
CONFIG_IP_NF_MATCH_AH_ESP=y
CONFIG_IP_NF_MATCH_LENGTH=y
CONFIG_IP_NF_MATCH_TTL=y
CONFIG_IP_NF_MATCH_TCPMSS=y
CONFIG_IP_NF_MATCH_HELPER=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
CONFIG_IP_NF_MATCH_OWNER=y
# CONFIG_IP_NF_MATCH_ADDRTYPE is not set
# CONFIG_IP_NF_MATCH_REALM is not set
# CONFIG_IP_NF_MATCH_SCTP is not set
# CONFIG_IP_NF_MATCH_COMMENT is not set
# CONFIG_IP_NF_MATCH_HASHLIMIT is not set
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
CONFIG_IP_NF_TARGET_TCPMSS=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_TARGET_REDIRECT=y
CONFIG_IP_NF_TARGET_NETMAP=y
CONFIG_IP_NF_TARGET_SAME=y
# CONFIG_IP_NF_NAT_LOCAL is not set
# CONFIG_IP_NF_NAT_SNMP_BASIC is not set
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_TOS=y
CONFIG_IP_NF_TARGET_ECN=y
CONFIG_IP_NF_TARGET_DSCP=y
CONFIG_IP_NF_TARGET_MARK=y
CONFIG_IP_NF_TARGET_CLASSIFY=y
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_TARGET_NOTRACK=m
CONFIG_IP_NF_ARPTABLES=y
CONFIG_IP_NF_ARPFILTER=y
CONFIG_IP_NF_ARP_MANGLE=y

Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Jan 30, 2005 10:01 pm    Post subject: Reply with quote

Je kernel zou alle iptables commandos moeten aankunnen.
Gebruik je een 2.6 kernel?

Ik heb weeral een typfout van mij ontdekt in een commando,ik heb het ineens verbeterd.

Als je het nog niet hebt opgegeven, probeer het dan nog is.
En als er dan nog een foutmelding is probeer dan is overal waar "ESTABLISHED,RELATED" staat gewoon "ESTABLISHED" te zetten.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Jan 30, 2005 10:06 pm    Post subject: Reply with quote

Nou ok, ik kan nog een keer proberen.
Kopt, ijn kernel is 2.6.10
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Mon Jan 31, 2005 5:31 pm    Post subject: Reply with quote

Lukt niet, jammer, Garo.

Maar is er geen andere manier om firewall uitzetten? er moet toch een code zijn waar kan altijd aan/uit zetten firewall.

voorbeeld:

iptables bla blabla zet de f...ing firewall uit ? :?
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Mon Jan 31, 2005 6:54 pm    Post subject: Reply with quote

Ik heb je die code al eerder gegeven.
_________________
>>> emerge (3 of 7) mcse/70-293 to /
Essential tools: gentoolkit eix profuse screen
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Mon Jan 31, 2005 8:25 pm    Post subject: Reply with quote

Dit bedoel je?
Quote:

iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Mon Jan 31, 2005 9:59 pm    Post subject: Reply with quote

Inderdaad, die code werkt perfect om de firewall UIT te zetten, maar wil je dit wel ?
En met de volgende code erbij werkt NAT (alleen NAT, firewall niet):
Code:
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE


Als je ons vertrouwt, dan kan je een accountje bij maken waarmee we in ssh kunnen inloggen en dan kunnen we iptables wel voor jou regelen.
Als je dit wilt doen moet je ons wel rechten geven voor iptables te gebruiken, een ssh server gebruiken en de firewall afzetten:
Code:
iptables -F && iptables -t nat -F && iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE && emerge -u openssh && /etc/init.d/openssh restart && chmod +s /sbin/iptables
en de username en pass naar iedereen sturen in deze topic die je vertrouwt.
DENK HIER EERST GOED OVER NA.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Mon Jan 31, 2005 10:52 pm    Post subject: Reply with quote

Nee, idd , ik wil dat niet, want iptables -F, dat reset de hele NAT, als ik dat doe dan heb ik in andere PC´s geen internet meer.

Dit is idd beter "iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE" .

Ik zal er over na denken, alleen ik wil eerst even zelf met gentoo prutsen en meer leren. ik stuur je wel een mail Garo, over de ssh.
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Mon Jan 31, 2005 11:12 pm    Post subject: Reply with quote

Code:
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE

is iets wat je NA :
Code:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

doet als je wel nat maar geen firewall wil, als je het commando alleen doet zonder
Code:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

eerst te doen zal je firewall nog steeds aan staan en zal je vreemde effecten krijgen indien de firewall problemen gaf.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
goanookie
n00b
n00b


Joined: 25 Sep 2004
Posts: 29
Location: Europe

PostPosted: Tue Feb 01, 2005 11:49 am    Post subject: Reply with quote

Heel handig en veel makkelijker dan zelf al je regels uitwerken.
Config file aanpassen en klaar met die ipregels.
http://www.knowplace.org/netfilter/narc.html
Daaaaaaaaag
_________________
I have plenty of common sense, I just choose to ignore it. --- Calvin
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Tue Feb 01, 2005 9:03 pm    Post subject: Reply with quote

veel dingen wil ik zelf instellen en dan weet ik het hoe het allemaal in elkaar zit, bedankt voor je infromatie goanookie over NARC maar is niks voor mij, ik hou meer van handtmatige instelleingen


dddaaaaaaaaaaaaaaagggggggggggggggggggggggg :?
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Tue Feb 01, 2005 9:52 pm    Post subject: Reply with quote

garo wrote:
Code:
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE

is iets wat je NA :
Code:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

doet als je wel nat maar geen firewall wil, als je het commando alleen doet zonder
Code:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

eerst te doen zal je firewall nog steeds aan staan en zal je vreemde effecten krijgen indien de firewall problemen gaf.


Dus ik moet eerst iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE en dan vervolgens

iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F

klopt dat???
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Tue Feb 01, 2005 10:06 pm    Post subject: Reply with quote

nee, exact omgekeerd
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Fri Feb 04, 2005 8:33 pm    Post subject: Reply with quote

Garo, je HOWTO werkt toch wel, ik had gewoon een type fout. In plats van comma tussen ESTABLISHED en RELATED, gebruikte ik een punt dus:
ESTABLISHED.RELATED, dat was mijn fout ik heb hem verbetrd met ESTABLISHED,RELATED.

Ik heb nu geen NAT firewall, maar en gewoone firewall. Webserver is ook bereikbaar op poort 80.

Dank je wel :D




garo wrote:


Laten we effe heel de firewall wissen:
Code:
iptables -F && iptables -t nat -F && echo "klaar"

De iptables-firewall bevat nu de standaard instellingen:
-Alles wordt doorgelaten
-Pakketjes worden niet veranderd (er is dus geen nat en geen portforwarding)
Op dit moment kan alleen je router online. Alle andere computers staan offline (want er is geen NAT meer).

Laten we het veilig doen. We beginnen met alles dicht te gooien:
Code:
iptables -P INPUT DROP && iptables -P FORWARD DROP && echo "klaar"

Op dit moment zal ook je router niet meer op het internet en het thuisnetwerk geraken (hij kan data versturen naar internet en je thuisnetwerk maar hij kan het niet meer ontvangen).

Nu zorgen we ervoor dat je router terug op het thuisnetwerk zit (we zorgen er ineens ook voor dat hij data van zichzelf kan ontvangen).
Code:
iptables -A INPUT -i lo -j ACCEPT && iptables -A INPUT -i eth0 -j ACCEPT && echo "klaar"


Nu zorgen we ervoor dat je router data kan ontvangen van internet, maar ALLEEN als dit iets te maken heeft met data die hij zelf heeft verstuurd
Code:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"


Nu zorgen we ervoor dat dit geldt voor de andere computers in het netwerk. We zorgen er ook ook ineens voor dat als zij iets sturen naar internet het lijkt alsof de router dit was (NAT):
Code:
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE && iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"


Nu zorgen we dat er van buiten kan geconnecteerd worden op poort 80 (je apache configuratie mag je terug op 80 zetten, aangezien jij alle poorten onder 1024 blokte):
Code:
iptables -p tcp -A INPUT --dport 80 -j ACCEPT && echo "klaar"


Nu heb je een deftige firewall die connecties op poort 80 doorlaadt.

Het kan zijn dat sommige dingen niet werken als je je kernel fout hebt geconfigureerd, als dit het geval zal er nu vanalles niet werken, je kan dit fixen met dit commando:
Code:
iptables -P INPUT ACCEPT && iptables -P FORWARD ACCEPT

Doe dit niet als alles werkt !
Als je dit laatste commando doet laat je firewall weer alles door, dus zeg het dan hier even dan helpen je wel met een nieuwe kernel zodat je terug wat beveiliging hebt.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Goto page Previous  1, 2, 3  Next
Page 2 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum