اطلاعیه

بستن
No announcement yet.

مشکل در firewall

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

  • مشکل در firewall

    دوستان سلام

    جهت RD از بستر اینترنت به یک سیستم از دستور زیر استفاده می کنم و مشکلی وجود نداره:

    add action=dst-nat chain=dstnat dst-address=94.183.xxx.xxx dst-port=7777 protocol=tcp to-addresses=192.168.100.100 to-ports=3389

    حالا می خوام تمام forward ها را به غیر از 80.443.53.7777 مسدود کنم.
    7777,chain=forward action=accept protocol=tcp dst-port=80,443
    chain=forward action=accept protocol=udp dst-port=53
    chain=forward action=drop
    از زمانی که رول های forward را اضافه کردم دیگه نمی تونم به 192.168.100.100 ریموت بزنم.

  • #2
    الان با این رول شما کل فورواردهارو بستید به جزء اونایی که میخواید . در حالی که باید کل فورواردهای پورتهای مورد نظر رو ببندید
    به جزء اون سروری که قرار بهش ریموت بزنید . الان برای ریموت زدن به اون سرور خاص ایا اون سرور نیاز به دسترسی به اینترنت
    نداره . ایا امتحان کردید ببینید که دسترسی داره یا نه ؟ این نحوه رول نویسی اشتباه هستش
    شرکت شبکه گستر پارسین
    09123514173

    کامنت


    • #3
      بله سرور می خوام اینترنت داشته باشه
      خب چطوری باید رول نوشت شما بفرماید

      کامنت


      • #4
        سلام
        با این روش ها میتونید به مقصودتون برسید.
        کد:
        
        chain=forward action=accept protocol=tcp dst-port=80,443,777
        chain=forward action=accept protocol=udp dst-port=53
        chain=forward action=accept protocol=tcp src-port=80,443,777
        chain=forward action=accept protocol=udp src-port=53
        chain=forward action=drop
        
        
        or
        
        
        chain=forward action=accept protocol=tcp dst-port=80,443,777
        chain=forward action=accept protocol=udp dst-port=53
        chain=forward action=drop in-interface=(internet-interface)
        
        
        or
        
        
        ip firewall mangle \
        add chain=prerouting protocol=tcp dst-port=80,443,777 action=mark-connection new-connection-mark=allowed-ports
        ip firewall filter \
        add chain=forward connection-mark=allowed-ports action=accept
        chain=forward action=drop
        البته کد های بالا رو توی notepad نوشتم، شاید غلط املایی داشته باشن. ولی روش کلی به همین شکله.

        کامنت


        • #5
          این رو تست کن
          ip firewall filter add chain=forward src-address=192.168.100.100 src-port=3389 protocol=tcp action=accept
          ip firewall filter add chain=forward dst-address=192.168.100.100 dst-port=3389 protocol=tcp action=accept
          بالای روی drop قرار بگیره البته

          بعد کلا رول نوشتن شما مشکل داره
          شما الان اومدید چند تا destination port ازاد گذاشتید چه از بیرون به داخل چه از داخل به بیرون!
          بعد اومدید همه چیز رو بستید چه destinaton port چه source port
          باید src-address و dst-address هم در رول نوشتن وارد کنید تا پالیسی بهتری داشته باشید
          آخرین ویرایش توسط shiraz; در تاریخ/ساعت 2014/05/23, 01:39 PM.

          کامنت


          • #6
            من در عجم چطور با این رول ها شما هنوز اینترنت استفاده می کنید!
            مسیر اینترنت یک مسیر دو طرفه هست،شما یک پالیسی اگر برای مسررفت می نویسید یک مسیر هم باید برای برگشت در نظر بگیرید
            فرض کنید دراینجا
            7777,chain=forward action=accept protocol=tcp dst-port=80,443
            خوب شما یک اجازه دارید به یک سری از مقصد ها دسترسی داشته باشید،ایا انها هم به شما دسترسی دارند؟
            یک وب سرور برای ارتباط با شما از پورت 80 استفاده می کند و بسیاری سرویس های دیگر(استثنا هم وجود دارد و در بعضی حالت های تنظیم وب سرور هم با پورتی به جز 80 با کلاینت صحبت می کند)
            حال شما باید برای مسیر برگشت هم فکری کنید
            7777,chain=forward action=accept protocol=tcp src-port=80,443

            در کل نگاه کنید 2 طرف با چه پورت هایی با هم صحبت می کنند و پورت های مورد نیاز را یک زمان برحسب source و یک زمان بر حسب destination باز یا مسدود کنید

            کامنت


            • #7
              تشکر از راهنمایی دوستان

              کامنت

              در حال انجام ...
              X