romaissa
11-02-2013, بتوقيت غرينيتش 02:00 AM
السلام عليكم ورحمة الله وبركاته
نسبة كبيرة من أصحاب السيرفر SERVERات يعتمدون على الـ Software Firewall وأنسب مثال عليه والشائع إستعماله هو الـ CSF ومعلوم بأنه جميع برامج الجدار الناري تعتمد على موديلات وقواعد الـ Iptables
هذا البرنامج وضع لنا أداة لفحص مدى توافق الموديلات والقواعد مع البرنامج وهو سكربت بيرل صغير
عندما تقوم بتشغيل السكربت راح تشوف
رمز PHP:
<code style="white-space:nowrap"> <code>
root@server [/]# perl /etc/csf/csftest.pl
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
</code> </code>
هذا يعني بأن القواعد والموديلات متوافقة تماماً 100 % مع البرنامج والبرنامج سيعمل بكفائة وبدون مشاكل
أما في بعض الأحيان نشوف مثل هالناتج
رمز PHP:
<code style="white-space:nowrap"> <code> FAILED [Error: iptables: Unknown error
</code> </code>
أمام كل موديل فيه مشكلة
طبعاً من المعلوم بأن الموديلات والقواعد يتم تفعيلها من النود الرئيسي عن طريق
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وقائمة الموديلات المناسبة هي
رمز PHP:
<code style="white-space:nowrap"> <code> ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
</code> </code>
عندما يتم إضافتها وتفعيلها وتروح تفحص الـ CSF راح تشوف الخطأ
رمز PHP:
<code style="white-space:nowrap"> <code> Testing xt_connlimit...FAILED [Error: iptables: Unknown error 4294967295] - Required for CONNLIMIT feature
</code> </code>
هذا يعني بأن الموديل xt_connlimit غير متفعل على الفي بي أس أو غير متفعل على النود بالكامل
الإجراء المناسب أولاً هو أن تعرف هل الموديل متفعل على النظام الرئيسي للنود بالكامل أم لآ ؟
لإنه اذا مفعل تمام معناهة إنت ناسي تضيف الموديل إلى الفي بي أس أو في قائمة الموديلات بالملفات أعلاه أما لو كان مو متفعل يلزمك تضيفه للنظام علشان يشتغل
طبعاً إنت ممكن تروح مباشرة على
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وتضيف الموديل إلى القائمة ولكن لو كان مو متفعل على النظام بالكامل كيف ؟ راح تحصل مشاكل
لذلك للتأكد من الموديل طبق الأمر التالي على النود الرئيسي
رمز PHP:
<code style="white-space:nowrap"> <code> lsmod | grep -i xt_connlimit
</code> </code>
لو ضهر لك ناتج معين مثل
رمز PHP:
<code style="white-space:nowrap"> <code> [root@server15 ~]# lsmod | grep -i xt_connlimit
xt_connlimit 37256 0
ip_conntrack 101396 11 xt_connlimit,vzrst,vzcpt,ip_conntrack_netbios_ns,i p_nat_ftp,iptable_nat,ip_nat,ip_conntrack_ftp,xt_c onntrack,xt_state
x_tables 52616 21 xt_connlimit,ipt_ttl,xt_tcpmss,ipt_TCPMSS,ipt_TOS, ipt_tos,xt_length,ipt_REDIRECT,iptable_nat,ipt_rec ent,ipt_owner,xt_conntrack,ipt_REJECT,ipt_LOG,xt_l imit,xt_multiport,xt_state,ip_tables,ip6t_REJECT,x t_tcpudp,ip6_tables
</code> </code>
معناهة الموديل متفعل أما لو ما ضهر ناتج معناهة الموديل متفعل وفي هذه الحالة التفعيل يكون بتطبيق
رمز PHP:
<code style="white-space:nowrap"> <code> modprobe xt_connlimit
</code> </code>
وبعدها طبق أمر الفحص أعلاه وشوف الناتج كيف راح يكون عندك في حال تفعل تمام تروح تضيف إسم الموديل إلى
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وبعدينا تضيها إلى ملفات الـ conf الخاصه بالفي بي أسات وتعمل ريستارت حلو للآيبي تيبلز والأوبن في زد وبكده نكون إنتهينا ونروح نفحص الجدار الناري مرة أخرى ..
سبب وضعي هالموديل هو كثيراً ما أشوفه متعطل وكثير ما أشوف Testing xt_connlimit...FAILED
آسف على الإطالة وبالتوفيق يا رب
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
نسبة كبيرة من أصحاب السيرفر SERVERات يعتمدون على الـ Software Firewall وأنسب مثال عليه والشائع إستعماله هو الـ CSF ومعلوم بأنه جميع برامج الجدار الناري تعتمد على موديلات وقواعد الـ Iptables
هذا البرنامج وضع لنا أداة لفحص مدى توافق الموديلات والقواعد مع البرنامج وهو سكربت بيرل صغير
عندما تقوم بتشغيل السكربت راح تشوف
رمز PHP:
<code style="white-space:nowrap"> <code>
root@server [/]# perl /etc/csf/csftest.pl
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
</code> </code>
هذا يعني بأن القواعد والموديلات متوافقة تماماً 100 % مع البرنامج والبرنامج سيعمل بكفائة وبدون مشاكل
أما في بعض الأحيان نشوف مثل هالناتج
رمز PHP:
<code style="white-space:nowrap"> <code> FAILED [Error: iptables: Unknown error
</code> </code>
أمام كل موديل فيه مشكلة
طبعاً من المعلوم بأن الموديلات والقواعد يتم تفعيلها من النود الرئيسي عن طريق
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وقائمة الموديلات المناسبة هي
رمز PHP:
<code style="white-space:nowrap"> <code> ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
</code> </code>
عندما يتم إضافتها وتفعيلها وتروح تفحص الـ CSF راح تشوف الخطأ
رمز PHP:
<code style="white-space:nowrap"> <code> Testing xt_connlimit...FAILED [Error: iptables: Unknown error 4294967295] - Required for CONNLIMIT feature
</code> </code>
هذا يعني بأن الموديل xt_connlimit غير متفعل على الفي بي أس أو غير متفعل على النود بالكامل
الإجراء المناسب أولاً هو أن تعرف هل الموديل متفعل على النظام الرئيسي للنود بالكامل أم لآ ؟
لإنه اذا مفعل تمام معناهة إنت ناسي تضيف الموديل إلى الفي بي أس أو في قائمة الموديلات بالملفات أعلاه أما لو كان مو متفعل يلزمك تضيفه للنظام علشان يشتغل
طبعاً إنت ممكن تروح مباشرة على
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وتضيف الموديل إلى القائمة ولكن لو كان مو متفعل على النظام بالكامل كيف ؟ راح تحصل مشاكل
لذلك للتأكد من الموديل طبق الأمر التالي على النود الرئيسي
رمز PHP:
<code style="white-space:nowrap"> <code> lsmod | grep -i xt_connlimit
</code> </code>
لو ضهر لك ناتج معين مثل
رمز PHP:
<code style="white-space:nowrap"> <code> [root@server15 ~]# lsmod | grep -i xt_connlimit
xt_connlimit 37256 0
ip_conntrack 101396 11 xt_connlimit,vzrst,vzcpt,ip_conntrack_netbios_ns,i p_nat_ftp,iptable_nat,ip_nat,ip_conntrack_ftp,xt_c onntrack,xt_state
x_tables 52616 21 xt_connlimit,ipt_ttl,xt_tcpmss,ipt_TCPMSS,ipt_TOS, ipt_tos,xt_length,ipt_REDIRECT,iptable_nat,ipt_rec ent,ipt_owner,xt_conntrack,ipt_REJECT,ipt_LOG,xt_l imit,xt_multiport,xt_state,ip_tables,ip6t_REJECT,x t_tcpudp,ip6_tables
</code> </code>
معناهة الموديل متفعل أما لو ما ضهر ناتج معناهة الموديل متفعل وفي هذه الحالة التفعيل يكون بتطبيق
رمز PHP:
<code style="white-space:nowrap"> <code> modprobe xt_connlimit
</code> </code>
وبعدها طبق أمر الفحص أعلاه وشوف الناتج كيف راح يكون عندك في حال تفعل تمام تروح تضيف إسم الموديل إلى
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/sysconfig/iptables-config
/etc/sysconfig/iptables-config
</code> </code>
وبعدينا تضيها إلى ملفات الـ conf الخاصه بالفي بي أسات وتعمل ريستارت حلو للآيبي تيبلز والأوبن في زد وبكده نكون إنتهينا ونروح نفحص الجدار الناري مرة أخرى ..
سبب وضعي هالموديل هو كثيراً ما أشوفه متعطل وكثير ما أشوف Testing xt_connlimit...FAILED
آسف على الإطالة وبالتوفيق يا رب
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
