CZFree.Net Home Page Diskuzní Fóra CZFree.Net Archív Často Kladených Otázek Registrace Nových Členů Archív Odkazů Seznam Členů Fóra CZFree.Net Czech Node Map hosted @CZFree.net CZFree.Net WIKI
CZFree Network Portal vzkazy | ovládání | pokročilé hledání   
 

Odpovědět k Tématu 
CZFree.Net forum: Wireless community network CZFree.Net > Fórum > Routování > firewall a ospf/quagga
Autor
Téma  < Předchozí Téma   Další Téma >
jointer
Member

Registrován: 05.07.2002
Příspěvků: 405

firewall a ospf/quagga Příspěvek č. 1 

Zkusil jsem si na routeru dat jednoduchy firewall zalozeny na tom ze budu dropovat INPUT a povolim jen co je potreba.
Mam ale problem s tim, ze kdyz to spustim, cca do minuty mi to prestane routovat.
Doslo mi ze je to asi quaggou, povolil jsem na INPUTu porty 2600 (zebrasrv), 2601 (zebra vty) a 2604 (ospfd).
Presto mi to nechce fungovat.
nmap bez firewallu rika:
2601/tcp open zebra
2604/tcp open ospfd
z tcpdumpu jsem na ap odchytil akorat:
"mojeIP" > OSPF-ALL.MCAST.NET: OSPFv2, Hello (1), length: 48

v zebra log mam:
2005/02/13 20:20:39 warnings: ZEBRA: Can't connect to SNMP agent with SMUX
2005/02/13 20:30:03 errors: ZEBRA: netlink-listen filter function error
kde ta druha chyba je "bezna" a skace az v okamziku kdy to funguje

log ospfd jsem moc nepochopil, ale o tom SNMP je tam taky.

Pomuze nekdo?

__________________

>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!

Old Post 13.02.2005 v 19:48
jointer je offline   Click Here to See the Profile for jointer   Find more posts by jointer   Click here to Send jointer a Private Message     Visit jointer's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
danny


Registrován: 12.05.2002
Příspěvků: 5247

Team Member: ADMIN

User is Mapper

Re: firewall a ospf/quagga Příspěvek č. 2 

Old Post 13.02.2005 v 20:28
danny je pryč   Click Here to See the Profile for danny   Find more posts by danny         Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
jointer
Member

Registrován: 05.07.2002
Příspěvků: 405

Příspěvek č. 3 

Na lo nedropuju, ani na eth0, jen na wlan0 z duvodu toho ze mam verejnou IP a chci trochu zmensit moznost napadeni.
Jakym zpusobem to tedy muzu povolit?

__________________

>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!

Old Post 13.02.2005 v 20:30
jointer je offline   Click Here to See the Profile for jointer   Find more posts by jointer   Click here to Send jointer a Private Message     Visit jointer's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
xor
Member

Registrován: 25.06.2002
Příspěvků: 474

Příspěvek č. 4 

__________________

Old Post 13.02.2005 v 21:34
xor je offline   Click Here to See the Profile for xor   Find more posts by xor   Click here to Send xor a Private Message   Click Here to Email xor     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
jointer
Member

Registrován: 05.07.2002
Příspěvků: 405

Příspěvek č. 5 

No nevim, ale pomohlo mi tohle:
iptables -A INPUT -p ospf -j ACCEPT # ospf povolit
Pac jak jsem se dozvedel, OSPF neni vubec TCP/IP protokol.

__________________

>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!

Old Post 13.02.2005 v 21:44
jointer je offline   Click Here to See the Profile for jointer   Find more posts by jointer   Click here to Send jointer a Private Message     Visit jointer's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Virnik
Senior Member

Registrován: 13.01.2004
Příspěvků: 604

Příspěvek č. 6 

ospf bezi na portech 2601-2607, a to sice tcp a udp - INPUT, OUTPUT a PREROUTING.
co se tyce dummy ifacu, resil jsem to povolenim veskere komunikace na 224.0.0.5/32, 224.0.0.6/32 a 224.0.0.9/32
pak vse bezelo. nicmene, mam v iptables parametry ESTABILISHED, takze se musi daemoni zebra a ospfd spustit pred samotnymi iptables.
staci tam pridat jeste NEW, a pak jede vse jak ma.

__________________

V.I.R.N.I.K: Vigiliant Individual Responsible for Nocturnal Infiltration and Killing
Resistance is, and always has been futile...

Old Post 14.02.2005 v 09:17
Virnik je offline   Click Here to See the Profile for Virnik   Find more posts by Virnik   Click here to Send Virnik a Private Message   Click Here to Email Virnik   Visit Virnik's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
jointer
Member

Registrován: 05.07.2002
Příspěvků: 405

Příspěvek č. 7 

Me to jede takhle, i pri rebootu.
2601-2607 povoleny nemam, pry je to jen pro administraci, coz by odpovidalo oznaceni "zebra/ospfd VTY".

__________________

>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!

Old Post 14.02.2005 v 09:38
jointer je offline   Click Here to See the Profile for jointer   Find more posts by jointer   Click here to Send jointer a Private Message     Visit jointer's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Jezevec
Newbie

Registrován: 07.08.2002
Příspěvků: 90

Příspěvek č. 8 

Pro routovani je treba opravdu jen ten multicast, je dobry to omezit jen na stroje od kterych takovy data ocekavas => na routery s bezicim ospf.

Takze treba:

iptables -A INPUT -i ethX -s a.b.c.d -d 224.0.0.0/24 -j ACCEPT

Kde a.b.c.d je IP sousedniho routeru. Pokud je jich vic je to lepsi udelat jinak

iptables -N routing
iptables -A INPUT -d 224.0.0.0/24 -j routing
iptables -A routing -s a.b.c.d -j ACCEPT
iptables -A routing -s k.l.m.n -j ACCEPT
...

Old Post 14.02.2005 v 09:59
Jezevec je offline   Click Here to See the Profile for Jezevec   Find more posts by Jezevec   Click here to Send Jezevec a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
jointer
Member

Registrován: 05.07.2002
Příspěvků: 405

Příspěvek č. 9 

A je tohle moje reseni v poradku nebo ne?

__________________

>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!

Old Post 14.02.2005 v 10:03
jointer je offline   Click Here to See the Profile for jointer   Find more posts by jointer   Click here to Send jointer a Private Message     Visit jointer's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
danny


Registrován: 12.05.2002
Příspěvků: 5247

Team Member: ADMIN

User is Mapper

Příspěvek č. 10 

Old Post 14.02.2005 v 10:10
danny je pryč   Click Here to See the Profile for danny   Find more posts by danny         Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Veškerý čas je GMT. Aktuální čas: 07:35.  Předcházející Téma   Další Téma
Odpovědět k Tématu
 
Zformátovat pro Tisk | Stáhnout Téma do Palma | Poslat Téma E-mailem | Odebírat tuto Diskuzi

Search this Thread:

 

CZFree.NET | Copyright ©MMII - MMXIV CZFree.NET | Kontaktujte Nás
Powered by: vBulletin - Copyright ©MM - MMII Jelsoft Enterprises Limited.
Founder: Deu / original scripting by: carlos (All High Seeds) / Node Monitor by: 8an
Additional Portal & Node Monitor Development by: oto, Zajsoft, Danny, Netdave
Hosted by: NFX.cz / FreeTel.cz