We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Firewall a siec 91.121.x.x - co jest grane?


przemjaskier
11-04-2008, 11:51
Dzieki za konkretna odpowiedz.

Pozdrawiam,
Przemek.

sLoDkI
10-04-2008, 22:51
Cytat Napisał przemjaskier
Czy jest jakos jasno okreslona przestrzen adresow, z ktorych RPS jest serwisowana, tak, zeby mozna je potraktowac mniej restrykcyjnie?
Tak. RPS łączy się (a przynajmniej powinien) przez i-face eth0 z serwerem ISCSI na port 3260 i dla tego połączenia powinien mieć regułkę firewall.
Alias eth0:0 jest drugim IP. Na nim można ustawiać dowolne reguły firewalla dla dostępu z zewnątrz.
IP serwera ISCSI bedzie widoczne w aktywnych połączeniach:
# netstat -en | grep 3260

Rozumiem, ze siec 91.121.x.x łaczy RPS z SAN? Dlaczego wiec siec 91.121.x.x jest dostepna z zewnatrz dla logowania z SSH??? Bardzo niemile... Czy przy konfiguracji firewalla mozna wyciac caly ruch przychodzacy takze z tej sieci (zostawic tylko flagi ESTABLISHED,RELATED)?
Konfiguracja domyślna. Brak zmian - klient sam konfiguruje na jakich adresach ma słuchać.

Jak dla mnie wystarczą podstawowe regułki + ping i lo:
Kod:
iptables -A INPUT -d 87.98.xxx.xxx -p tcp -m tcp --dport 22 -j ACCEPT 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -s 91.121.xxx.xxx -d 91.121.196.234 -p tcp -m tcp --dport 3260 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 
iptables -A INPUT -p icmp -j ACCEPT
No i dopełniając dzieła, blokujemy domyślnie wszystko na wejściu:
Kod:
iptables -P INPUT DROP
Przy czym:
87.98.xxx.xxx - IP "zewn." (eth0:0)
91.121.xxx.xxx - IP "wewn" (eth0) - dla połączeń z ISCSI
91.121.196.234 - w moim przypadku IP serwera ISCSI (z netstat -e)

Widze, ze automat sprawdza przez ping, czy RPS jest alive i monituje, jezeli ping pada. Ale jezeli wytne ICMP to przestanie to dzialac.

Szkoda, ze Ganda nie rozwinal tego tematu
http://forum.ovh.pl/showthread.php?t=6921
Damy radę wyjaśnić resztę


PS. przy takich zabawach dobrym pomysłem jest zamiast iptables -P INPUT DROP, ćwiczenie na:
Kod:
iptables -P INPUT DROP && sleep 600 && iptables -P INPUT ACCEPT
Dzięki czemu nawet gdy zapomnimy o jakiejś regułce i odetniemy sobie dostęp od serwera - zostanie on po 10min. przywrócony - oszczędzimy serwer przed niepotrzebnymi rebootami

Pozdrawiam.

przemjaskier
10-04-2008, 19:53
Czy jest jakos jasno okreslona przestrzen adresow, z ktorych RPS jest serwisowana, tak, zeby mozna je potraktowac mniej restrykcyjnie?

Rozumiem, ze siec 91.121.x.x łaczy RPS z SAN? Dlaczego wiec siec 91.121.x.x jest dostepna z zewnatrz dla logowania z SSH??? Bardzo niemile... Czy przy konfiguracji firewalla mozna wyciac caly ruch przychodzacy takze z tej sieci (zostawic tylko flagi ESTABLISHED,RELATED)?

Widze, ze automat sprawdza przez ping, czy RPS jest alive i monituje, jezeli ping pada. Ale jezeli wytne ICMP to przestanie to dzialac.

Szkoda, ze Ganda nie rozwinal tego tematu
http://forum.ovh.pl/showthread.php?t=6921