Zkusil jsem si na routeru dat jednoduchy firewall zalozeny na tom ze budu dropovat INPUT a povolim jen co je potreba.
Mam ale problem s tim, ze kdyz to spustim, cca do minuty mi to prestane routovat.
Doslo mi ze je to asi quaggou, povolil jsem na INPUTu porty 2600 (zebrasrv), 2601 (zebra vty) a 2604 (ospfd).
Presto mi to nechce fungovat.
nmap bez firewallu rika:
2601/tcp open zebra
2604/tcp open ospfd
z tcpdumpu jsem na ap odchytil akorat:
"mojeIP" > OSPF-ALL.MCAST.NET: OSPFv2, Hello (1), length: 48
v zebra log mam:
2005/02/13 20:20:39 warnings: ZEBRA: Can't connect to SNMP agent with SMUX
2005/02/13 20:30:03 errors: ZEBRA: netlink-listen filter function error
kde ta druha chyba je "bezna" a skace az v okamziku kdy to funguje
log ospfd jsem moc nepochopil, ale o tom SNMP je tam taky.
Pomuze nekdo?
__________________
>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!
Na lo nedropuju, ani na eth0, jen na wlan0 z duvodu toho ze mam verejnou IP a chci trochu zmensit moznost napadeni.
Jakym zpusobem to tedy muzu povolit?
__________________
>>----------------<<
ALL YOUR WI-FI ARE BELONG TO US!
JOIN(T) US!
ospf bezi na portech 2601-2607, a to sice tcp a udp - INPUT, OUTPUT a PREROUTING.
co se tyce dummy ifacu, resil jsem to povolenim veskere komunikace na 224.0.0.5/32, 224.0.0.6/32 a 224.0.0.9/32
pak vse bezelo. nicmene, mam v iptables parametry ESTABILISHED, takze se musi daemoni zebra a ospfd spustit pred samotnymi iptables.
staci tam pridat jeste NEW, a pak jede vse jak ma.
__________________
V.I.R.N.I.K: Vigiliant Individual Responsible for Nocturnal Infiltration and Killing
Resistance is, and always has been futile...
13.02.2005 v 19:48
