[09:41] zduř prdi :o) [09:43] pic :) [10:09] hoj [10:10] najde se tu nekdo, kdo by mi poradil s nasatvenim iptables ??? jedna se mi , ze bych potreboval na serveru nastavit jenom urcity IP adresy, ktery se muzou pripojovat na server.... Udelat nejaky seznam IP adres, ktery budou mit povoleny pristup na server, a vsechno ostatni bude zakazano [10:31] Kony_doma: ahoj, jestli nekde vyhrabu IP adresu, abych se pripojil na server, tak ano [10:35] :) [10:35] no jednuduse to potrebuju nastavit. jedna se o jednu vec [10:36] Kony_doma: jato mam takto http://pastebin.com/22z5hEWg [10:36] na server se nebude moc nikdo pripojit pokud nebude IP adresa v nejakym seznamu.... vcetne pingu a vseho, jde to takto udelat ???? ted to zkousim na VMWare a porad se mi to nedari.... [10:36] aha [10:37] takze tohle udela, ze te vsechno zahodi a jenom zadany IP adresy to povoli ?? [10:37] a co kdybych chtel vsechny porty aby to povolilo..... proste ses v seznamu povolenych Ip dares, tak mas kompletni pristup na serevr [10:37] protoze se jedna jen o kratky seznam, namlatil jsem ip primo do meho firewallu ... jinak si to muzes hodit treba do souboru, nebo do DB, ... [10:37] server [10:38] myslim si, ze by stacilo smazat -p TCP --dport 22 [10:38] takze by bylo $IPTABLES -A INPUT -i $INET_IFACE -s 88.103.252.40 -p TCP --dport 22 -j ACCEPT [10:38] $IPTABLES -A INPUT -i $INET_IFACE -s 88.103.252.40 -j ACCEPT [10:38] treba ??? [10:38] jj myslim si ze ano [10:39] jestli to mas moznost zkusit ... [10:39] ok, a kde se da iptables nejak rozumne editovat v souboru ??? [10:39] a potom jak aktualizovat [10:39] pokud to lze [10:40] mno ja nevim jak ostatni, (myslim si teda ze to ale ani jinak nejde) nemam u IPtables zadny config, ktery neco nastavuje. mam udelany vlastni script treba firewall.sh, ktery ma nastaveny spousteci atribut a v nem mam takoveto prikazy [10:41] aha [10:41] a myslis ze bych te mohl poprosit o spravny nasemrovani ??? treba..... script by se jmenoval povoleny.sh [10:41] a co vevnitr ma byt ??? [10:47] no ale pokud mas na prvnim radku ze ma zahodit vsechny pravidla, preskoci to potom teda na ty ostatni radky pro kontrolu teb IP adress ?? [10:50] byt tebou, udelal bych si asi jen jeden soubor a ten si hezky okomentoval, misto rozdeleni do vice souboru. takze bych udelal normalne treba firewall.sh .... toto je moje zakladni konfigurace http://pastebin.com/1TbFZJc5 [10:51] super diky moc [10:53] mam to na routeru, proto tam jsou nejake veci tykajici se forwardovani ... [10:53] jj vydim [10:54] sry. ten radek 32 se nejak zesral :-D ma tam byt jen echo "1" > /proc/sys/net/ipv4/tcp_syncookies [10:54] mi asi trosku ujela ruka [10:55] no ten bych stejne mazal aji radek 31 [10:55] atd [10:56] a pak mam jeste script, ktery firewall vypina ... http://pastebin.com/kwkhM1GF [10:56] no zkousel jsem to udelat tak ze jsem dal [10:56] # $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP # $IPTABLES -P FORWARD DROP [10:56] hm spatne :))) [10:56] ale to je jedno [10:57] proste jsem vsechno zakazal [10:57] a ping prestal odpovidat, to je dobre [10:57] ale kdyz jsem potom zadal radek [10:57] $IPTABLES -A INPUT -i $INET_IFACE -s 192.168.1.110 -j ACCEPT [10:57] tak nic [10:57] porad vsechno zahazuje [10:57] a kdyz mu nechas povoleny output ? [10:58] $IPTABLES -P OUTPUT ACCEPT [10:59] juj [10:59] btw mas ten pc nekde po ruce ? :-D bo jestli k nemu nemas rychli fyzicky pristup, tak bych do firewallu moc nehrabal a rozhodne kdyz ti radim ja :-D [10:59] a potom kam mam vytvorit ten soubor [10:59] ktery [11:00] no mam to tedka ve virtualu abych si to otestoval a potom to az hodim na server :) [11:00] :-D [11:00] firewall.sh [11:00] a potom jak zabezpecim aby se spoustel pri startu [11:00] to je uplne jedno :), kam se ti to bude libit .... a aby se spustil pri startu, tak k nemu napises cestu do /etc/rc.local [11:02] krucinal... povedlo se mi vytizit system na 100% nic moc.. :D [11:02] :) [11:02] cim ? [11:03] vsim moznym :D [11:03] :-D :-D [11:03] hlavne hodne kopirovani po ruznych discich :D [11:03] me se to stava pravidelne, .... se lagne flash, zatizeni na obou jadrech skoci na 90% a musim zabijet [11:04] u flashe se mi to stavalo kdyz sem pouzival blbej FF [11:04] chrome uz s tim problemy nedela :-) [11:04] me i v chromiu :'( [11:05] hehe, slusnej vytuh... :D [11:05] jeste ze mam sest jader :D [11:06] ty jsi dobytek :-D [11:06] mi pulka systemu absolutne vytuhla :D [11:06] tohle mi to pise kdyz chcu ten sopubor sh pustit [11:06] root@ubuntu:~# /usr/local/etc/firewall.sh bash: /usr/local/etc/firewall.sh: /bin/sh^M: bad interpreter: No such file or directory [11:07] tak tam dej #!/bin/bash [11:08] na ten prvni radek [11:09] krucinal, neco mi brzdi disky... [11:10] zeby to kopirovani ? :D [11:12] pice, ale jak :D [11:12] tak mam [11:12] $IPTABLES -A INPUT -i $INET_IFACE -s 192.168.1.110 -j ACCEPT [11:12] a kompletne me to odstrihlo [11:13] nechal jsi povoleny ten OUTPUT ? [11:13] ne :) [11:14] tak zkus [11:15] kurnik ten disk je snad jeste ide, to je strasny... :D [11:16] ty jo........ chcu udelat sipku dolu ve vmware a udela se enter,, to je nejaky divny, nemuzu nijak zeditovat ten soubor co se pousti pri startu :) [11:20] :-D [11:20] omg [11:20] 16GB odhaduje na 5 hodin... [11:20] dvacet pet hodin u toho ale drepet nebudu.. :D [11:21] tvl to je masakrr.... jak to mam prepsat :) [11:21] nemuzu se tam dostat a klavesnice se pres vmware nejak divne chova :) [11:22] tak jdu asi parit wowko, nez se to prekopiruje no... :D [11:22] Kony_doma: jak se muze divne chovat, vsak jsi ten system normalne nainstaloval, rozhchdoil tam ssh atd ne ? [11:23] h00ked: jeste ze mas 6 jader ... :-D [11:23] jj jasne, ale tedka jak jsem na topm hodil ten iptables tak me to odstrihlo od vseho, vcetne ssh a telnetu a jde se mi pripojit pouze vmware a tam je to nejaky divny [11:24] tam asi ten vypis IP adress mel byt nad tema implicitnima pravidlama ne ??? [11:24] a ty jsi to do toho rc.local uz asi narval co [11:24] jj [11:24] :) [11:24] ne implicitni pravidla jsou nahore a az pod tim povolovani [11:24] aha [11:24] no tak tam mam tu svou Ip adresu a nejde [11:25] kdyz v tom vmware bootnes livecd, klavesnice tam bude fungovat normalne ? [11:25] urcite. jeste si stim zkusim pohrat [11:27] tak kdyby nahodou, tak bootni live, namountuj disk, edituj ten rc.local - nesplest ale, kdyz disk namountujes do /mnt, tak nemuzes editovat /etc/rc.local, ale /mnt/etc/rc.local. tam zakomentuj spusteni firewallu. az to budes mit odlazene, tak si to odkomentuj ... [11:27] jj jasny [11:29] FrostyX: wowko mam na ntb, mam tam lepsi grafiku :D [11:29] jeste jsem tu nakonci vyhrabal $IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT [11:29] $IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT [11:29] $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT [11:30] h00ked: mno nemit tu intela, tak uz to hraju asi taky :-D .... jeste ze jsem si nekoupil nvidiu :-D [11:32] ja mam na ntb turion dualcore 2,5GHz, 4GB ram, ATImobility radeon HD5470 [11:33] ja mam jen takovou hracku http://www.alza.cz/lenovo-thinkpad-sl510-d170250.htm?kampan=adw1_notebooky_lenovo-produkty&gclid=CLyGr_q4y6cCFYMI3wodZwQyCg#popis [11:34] ja mam tenhle http://www.alza.cz/hp-probook-4525s-d200722.htm [11:34] tak uz mi to zase jede :) [11:34] Kony_doma: sikovnej :) [11:34] sem si kupoval asi pred trema tejdnama [11:35] nevis jak dlouho se ten model uz vyrabi ? [11:35] odhadem [11:36] to hp? [11:36] jj [11:36] netusim... [11:36] tak pul roku mozna? bych tipnul podle te grafiky asi.. [11:36] ale fakt jenom tak hadam ;) [11:36] spoluzak ma designove uplne stejny, ale asi to teda nebude stejny model [11:37] no ono tenhle design se u hp drzi uz celkem dlouho [11:37] a musim rict ze je povedeny ;) [11:37] jenom ten touchpad nalevo neni moc WoW friendly :D [11:37] :D [11:37] a pri psani ti nezavazk × [11:37] *nezavazi [11:37] ? [11:38] pri psani ne :D [11:39] ale uz sem to vyresil, kdyz je aktivni klavesnice, tak se touchpad automaticky vypina :-) [11:39] ja mam touchpad uplne na stredu a obcas na nej dlani najeud, tak me to hodi do jineho okna :-D [11:39] o tom jsem cetl nekde na gentoo foru, ale pak jsem zapomel nazev :-D [11:39] jak se ten program jmenuje ? :-D [11:40] * FrostyX bude muset jit na obed [11:40] nevim, ja se k tomu omylem proklikal nekde nejak :D [11:40] ale je to tusim i v laptop-mode [11:42] tak takto to nejde [11:42] uz je zkopirovano 1,5GB... to mi poser zada :D [11:42] pokud zakrizkuju OUTPUT tk to pousti vsechno [11:53] tak ja uz nevim [11:54] $IPTABLES -A INPUT -i $INET_IFACE -s 192.168.1.110 -j ACCEPT [11:54] uz jsem vyzkosuel snad vsechno [11:56] Kony_doma: ja si snad rozchodim ten firewall u sebe :-D [11:56] :) [11:56] tak za pul hodinky pujdu na to, kdyby jsi to nevyresil [11:57] ok [12:15] 2,5GB kua to je fofr xD [12:23] Kony_doma: nechapu jak ti to muze nefungovat ... u me tato uplne nejjednodussi verze funguje http://pastebin.com/8EK0p5qp [12:24] a tady tohle udela to ze jedine IP adresa 192.168.2.101 ma pristup na ten server ??? [12:24] j [12:24] tak to jdu schvalne zkusit to neni mozny :) [12:25] ale ja tam nemam /usr/sbin/iptables ale jenom /sbin/iptables [12:25] IPTABLES="/sbin/iptables" [12:25] to nevadi [12:25] ja mam binarku jinde [12:31] Kony_doma: vsimej si IPTABLES -P OUTPUT ACCEPT ... pripadne pokud by jsi chtel mit implicitne OUTPUT nastaveny na DROP, klidne muzes, ale musis si pridat napr radky $IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT [12:31] $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT [12:31] pricemz v $INET_IP mam ip adresu sitovky pres kterou pristupuju a v $LO_IP mam 127.0.0.1 [12:32] jasny uz mi to jde [12:34] a tedka jeste pravidlo aby nechal otevreny komplet port 20000 [12:34] pro vsechny IP adresy [12:37] $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 2000 -j ACCEPT rekl bych [12:37] jj tak nejak jsem si to myslel [12:37] jeste zalezi jestli se jedna o TCP, nebo UDP port, k tomu slouzi tne prepinac -p [12:40] Kony_doma: co budes stavet za server ? :-) [12:40] no uz mam, ale chci ho zabezpecit [12:41] ale nejsem si prave jistej jestli to pujde takto pouzit [12:41] jedna se o sdileci server na satelit [12:42] a mel bych ho zabezpecit a takto bych rekl ze to bude nejlepsi [12:42] musim valit, diky moc za rady [12:42] jeste se urcite ukazu [12:42] oki, zatim se mej [12:43] jak se tomu nadava.... smbd? [12:45] buhvi jak to chce sdilet, windowsi sdileni je samba (smbd), ale port 2000 ma 'cisco-sccp' jestli muj /etc/services nekeca [12:45] a to teda nemam tuseni co je, takze nevim :) [12:46] j to jo, ale ja nevedel jak se nadava daemonu samby :D [12:46] jj smbd [12:46] nevim proc, ale jakmile mi nejede smbd tak mi nejede sdileni slozek na siti ubuntu -> ubuntu... :D [12:47] teda sdileni... no [12:47] on to je vlastne pristup na disk pres sit ze... ale tak rikejme tomu sdileni :D [12:48] jj chapu, spolubydlovi to taky neslo kdyz mu nebezel smbd, ... osobne nevim, bo sambu zapinam pri bootu a je to jedna z prvnich veci co instaluju do systemu [12:48] zkusim vypnout :) [12:48] no ja ji instaloval dodatecne a daemon se mi obcas zapne, obcas ne no... :D [12:50] tak ja se na sdileni dostanu i s vyplim daemonem, ale bezi mi toto gvfsd-smb-browse a netusim jak tahle vec funguje :-D hlavne ze to bezi [12:50] *rucne jsem to nespoustel - zaplo se to asi samo [12:55] mno.. me proste bez smbd nebezi sdileni :D [13:00] zajimavy, ze po siti se mi data kopiruji mnohem rychleji, nez primo v pc... :D [13:01] a pritom data v pc jdou sata -> ide a po siti to jde ide -> wifi -> sata .... :D [13:03] h00ked: tak mas asi kouzelnou wifi.. umi vycarovat speed boost :) [13:03] asi jo no [13:03] v PC ted 1,1MB/s a po wifi to jde 2,7MB/s [13:03] :D [14:00] mno... [14:43] hm... z nejakeho duvodu mi pidgin na ntb nechce prihlasovat k jabberu... :/ [15:06] h00ked_: to znam.. taky sem se s nim jednu dobu hadal, protoze se zmetek nechtel pripojit.. [15:07] ach jo.. ja sem takovej idiot.. prave se mi podarilo hodit sklenenou misku na lcd a poskrabat ho jaxvine.. :( ja bych si fakt nafackoval :/ [16:04] hm... koukam ze se mi ze serveru stava docela slusna uschovna.... :D [16:17] Zdravíčko [16:50] ty vole ono se to jeste nezkopirovalo.... [16:51] h00ked_, co ?? [16:51] existuje v linuxu prikaz pro uplnou zalohu všeho ? [16:52] sudo zalohuj all [16:52] :D [16:53] dochazi mi misto na /home, tak kopiruju data na dalsi disky, ale nekde to neco brzdi... :D [16:53] to zkazí den :D ja potrebuju bud na trvalo jeden disk pripojit a nebo ho nastavit jako home ?jak to jde? [16:54] areon: do fstab napchat mount na /home na ten disk? ci ine si myslel? [16:55] supersasho, ma disk /souboroví system/ a chtel bych ho dat jako home [16:55] mno jdu nastavit nfs, seru na to :D [16:56] areon: nastroj na zalohu vseho ? nestaci ti na to cp / dd / rsync ? [16:56] FrostyX, udela to zalohu i naastavení ? [16:57] areon: a ten mount udelas presne tak jak rika supersasho ... nebo ho muzes treba pripojit jen docasne a to mountem [16:57] FrostyX, me nebavi ho pri kazdym startu pripojovat [16:57] tak /etc/fstab [16:59] ono sa aj odporuca mat /home samostatne, raz sa mozno aj ja k tomu dopracujem :) [17:01] :D jo to vim ale byl jsem nucen po moji chybe pri reinstalu ten disk nepripojit jako home [17:01] abych zachranil data [17:01] mam na jednom disku jadro [17:01] home se da prenest [17:01] a jak ? [17:01] ou zkusim pohledat ten navod na netu [17:01] doporucuje se to, ale ve finale zadny poradny duvod k tomu nevidim ... rikaj, ze vlastne pri reinstalu systemu muzes pouzit stare home, ale ten bordel co v nem vzdycky je, to si radsi obnovim jen podstatne konfiguraky :-D [17:02] kydsi jsem to s upechem aplikoval [17:03] FrostyX: suhlasim [17:03] vecsinou mam v /home bordel :) [17:04] areone: mrkni na tohle [17:04] ve viditelnych souborech ani moc ne, ale tisice skrytych souboru, ktere bych teda v dalsim systemu rozhodne nechcel :-D [17:04] http://forum.ubuntu.cz/index.php?topic=11189.0 [17:05] takhle nejak jsem to kdysi delal a v pohode [17:09] hm... nejak se mi nechce zkompilovat portmap... [17:11] diky kluci [17:11] Ameřičtí vědci udělali neskutečný objev objevili nad americkýma zásobama ropy neznámou arabskou zemi. [17:13] no nic, jedu na intr, mejte se tu [17:15] FrostyX, cau [18:39] ha! ted uz si jenom udelat spoustec na pripojeni disku a je to :p [18:40] ha ted už jen udelat 75 maturitnich otazek a 20 temat do praxe a mám maturitu :D [18:43] to uz mas za par ne? :D [18:43] presne za 53 dni [20:05] a na to se napyjem [20:05] na zdravi! ;-) [20:18] kuwa drat ..