Re: InJoy Firewall i zagwzdka

Autor: Adam Płaszczyca <trzypion_at_oldfield.pulapka.org.pl>
Data: Mon 25 Sep 2006 - 23:04:33 MET DST
Message-ID: <ftfgh2l8ctl04c0qksmko3li5l06if0bfj@4ax.com>
Content-Type: text/plain; charset=ISO-8859-2

On Mon, 25 Sep 2006 17:41:16 +0200, Leszek Kubrak
<lesiok@infokub.com.pl> wrote:

>> Co ja robię nie tak?
>>
>
>Teoretycznie wszystko jest OK. A co się stanie jak regułę nr 2 umieścisz
> w pliku firewall.cnf PRZED regułą nr 1 ?

Zaraz, w firewall.cnf mam tylko opisy poszczególnych poziomów,
firewall pracuje u mnie na 3, więc wpis dla niego wygląda tak:

SETTINGS
                Safe-Mail-Relay-Addresses = "10.*",
                Safe-Mail-Relay-Domains = "oldfield.org.pl",
                Security-Level = 3

[...]
Level-3
                Block-FW-Ports = No,
                Dynamic-Firewall = Disabled,
                Safe-Mail-Relay-Addresses = "10.*",
                Safe-Mail-Relay-Domains = "oldfield.org.pl",
                Comment = "All dropped packets logged to droppkts.log.
Rejected TCP connections logged to rejects.log. Warning of 30 dropped
packets within 30 minutes.",
                Rules = "base/base base/monitors alerts/icmp
alerts/tcp contrack/incoming contrack/outgoing alerts/dropped
contrack/rejects policy/drop-log",
                Shaper-Enabled = Yes

Level-4
[...]

Reguły mam w dwóch plikach - blokada telneta jest w firerule.cnf, a
whitelista w whitelist.cnf.

Regułki wpisywałem przez GUI.

Hmm.. No dobrze. Wygląda na to, że faktycznie pomaga wpisanie reguł do
firerule.cnf w odpowiedniej kolejności, czyli:

Telnet-arktyka
                Comment = "Allow telnet connection from arktyka.com",
                Destination-Port = "telnet",
                Source = "80.55.53.46",
                Destination = "My_IP",
                Rule-Action = Allow,
                Direction = Incoming

Telnet-block
                Comment = "Block all telnet connection",
                Destination-Port = "telnet",
                Destination = "My_IP",
                Direction = Incoming

I teraz wpuszcza telneta tylko z jednego adresu :D Dzięki, Leszku.

Pytanie za 100 punktów - czy jest możliwe filtrowanie nie tylko po IP,
ale po ramkach ethernetowych, czyli po MAC adresach? Chodzi mi o
wycięcie wszystkiego, co przyłazi do mnie z LAN-u, a jest tego sporo
(windowsy sieją jak głupie) 

-- 
     ___________ (R)
    /_  _______      Adam 'Trzypion' Płaszczyca (+48 502) 122 688
  ___/ /_  ___       ul. Ludwiki 1 m. 74, 01-226 Warszawa
 _______/ /_     http://www.plfoto.com/zdjecie.php?picture=861112
___________/     mail: _555@irc.pl GG: 3524356
Received on Mon Sep 25 23:15:06 2006

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 26 Sep 2006 - 00:03:01 MET DST