Firewall на дриме - защитим любимый ресивер от Интернет- атак (iptables, ipchains, netfilter)

    спасибо
    хороший вариант замены dns-ip без ввода вручную,
    но проблема наверное в другом


    проделал все руками


    включаю дрим
    прописываю dns провайдера megafone в файле /var/etc/ppp/resolv.conf
    (/var/etc/resolv.conf вручную через меню)
    исправляю dns в файле firewall
    подключаю gprs
    запускается iptables
    загрузка дополнений идет


    не выключая дрим
    выключаю телефон
    меняю sim-card на mts
    включаю телефон
    прописываю dns провайдера mts в файле /var/etc/ppp/resolv.conf
    (/var/etc/resolv.conf вручную через меню)
    исправляю dns в файле firewall
    подключаю gprs
    запускается iptables
    загрузка дополнений не идет - ошибка - cann't resolve host name
    сбрасываю вручную правила iptables
    загрузка идет
    перегружаю дрим
    теперь идет всегда , только до смены оператора gprs


    где-то в "памяти" iptables сохраняется dns старого прова?
    ведь когда во всех файлах на внутренней флеше меняю
    dns остается только оперативная память и кешь....
    может быть в загружаемых модулях iptables....
    может стоить и их перегружать псоле смены провайдера?
    ведь после перезагрузки дрима все улетает и firewall
    все пропускает....


    буду рыть где проблема зарыта.....хочется добиться
    перключения провайдера без перезагрузки дрима

    вот в начале добавил:


    echo "nameserver $DNS1" > /var/etc/ppp/resolv.conf
    chmod a+R /var/etc/ppp/resolv.conf


    echo "nameserver $DNS1" > /var/etc/resolv.conf
    chmod a+R /var/etc/ppp/resolv.conf


    теперь можно не вбивать dns в меню с пульта,
    он записывается в файл /var/etc/resolv.conf с поднятием gprs


    все вроде бы работает , но в связи с некоторыми проблемами
    с dns вов ремя смены сим-карты провайдера без перегрузки
    дрима вбил загрузку addons в файл /var/etc/hosts


    83.243.42.121 download.blue-panel.com


    и сервер шары конечно цифрами


    теперь можно вообще не использовать dns


    осталась одна проблема:
    при смене провайдера (смена сим-карты gprs) без
    перезагрузки дрима - firewall почему-то блокирует dns
    хотя он берется с помощью команды usepeerdns
    после поднятия gprs и записывается в resolv.conf


    делаешь перезагрузку дрима - и все ок!


    почему не понятно?

    имидж SatDream 3.40


    чтобы дрим не давал инфу о системе при telnet входе
    на него в файле /etc/issue.net убрать всю инфу о системе
    и можно вставить свою типа:


    Welcome to Enter - No Sorry to Out!
    %d


    меньше инфы для хакера - больше пользы для дрима....


    пробую использовать демон inetd для конфигурирования
    к примеру ftpd ....


    создал два файла


    /etc/hosts.allow:
    in.ftpd: 192.168.0.2


    /etc/hots.deny:
    ALL:ALL


    но чето не работает и разрешает доступ через любой ip lan,
    конечно в этой-же сети....
    видно , что ftpd запускается через inet.d


    root@dreambox:~> ps
    450 nobody 856 S in.ftpd
    452 root 972 S in.ftpd


    и в файле /etc/inetd.conf вроде бы ftpd запускается через inetd:
    ftp stream tcp nowait root /sbin/in.ftpd in.ftpd


    кстати telnetd не запускается через inetd
    вписывал:
    ftp stream tcp nowait root /sbin/in.telnetd in.telnetd


    создается файл /sbin/in.telnetd , но нолевой длины и telnet не запускается


    изначально там:


    telnet stream tcp nowait root /sbin/telnetd telnetd



    почему не работают файлы hosts.allow и hosts.deny ????

    Сообщение было отредактировано 2 раз, последнее редактирование пользователем Andr ().

    Цитата

    почему не работают файлы hosts.allow и hosts.deny ????


    Потому, что компилировано без libwrap ...

    Цитата

    Со слов пользователя zuriuslev


    Потому, что компилировано без libwrap ...


    спасибо
    то-есть ядро скомпилировано без поддержки tcpwrap?
    а какой тогда смысл запускать сервисы ftpd и telnetd через inetd?
    если нет поддержки tcp-фильтрации в inetd.....

    Цитата

    то-есть ядро скомпилировано без поддержки tcpwrap?
    а какой тогда смысл запускать сервисы ftpd и telnetd через inetd?
    если нет поддержки tcp-фильтрации в inetd.....


    Ядро тут не при чем ...


    Библиотека libwrap появилась значительно раньше, чем ipchains-iptablrs-netfilter e.t.c. и с появлением оных, несколько утратила актуальность.
    inetd - это тот-же busybox ...
    А в busybox, уже и так, немеряно всякого-разного напихали ...
    Для фильтрации пакетов , обычно специальные девайсы применяют ... да и возможности iptables огромны !
    Ни к чему пытаться все засунуть в Дрим ... да и флеш не резиновая :(
    Дриму надо кино крутить, а не от интернет атак отбиваться !
    Это конечно здорово, что Вы самостоятельно разбираетесь с iptables !
    Но с моей точки зрения, Ваш файрвол, для дрима - это уже слишком ! :rolleyes:


    Вполне достаточно, что-нибудь вроде -
    WANIF="ppp0"
    LANIF="eth0"
    IPTABLES="/bin/iptables"
    for T in filter nat mangle ; do
    $IPTABLES -t $T -F
    $IPTABLES -t $T -X
    done
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD ACCEPT
    $IPTABLES -P OUTPUT ACCEPT
    #Allow related and established on all interfaces (input)
    $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    #Allow related and established $WANIF. Reject everything else.
    $IPTABLES -A INPUT -i $WANIF -j REJECT
    #Allow everything on loopback interface.
    $IPTABLES -A INPUT -i lo -j ACCEPT
    #Allow everything on $LANIF
    $IPTABLES -A INPUT -i $LANIF -j ACCEPT
    #Enable NAT on output device.
    $IPTABLES -t nat -A POSTROUTING -o $WANIF -j MASQUERADE

    Сообщение было отредактировано 2 раз, последнее редактирование пользователем zuriuslev ().