firwall instellingen speedtouch alcatel

[Tonskidutch]

hoi..

 

ben een beetje aan testen..

vond een tip om de firewall.ini aan te passen...

 

heb hem even hier geplaatst

Citaat:

[ pfirewall.ini ]

chain create chain=sink

chain create chain=forward

chain create chain=source

rule create chain=sink index=0 srcintfgrp=!wan action=accept

rule create chain=sink index=1 prot=udp dstport=dns action=accept

rule create chain=sink index=2 prot=udp dstport=bootpc action=accept

rule create chain=sink index=3 prot=icmp icmptype=echo-reply action=accept

rule create chain=sink index=4 prot=icmp icmptype=echo-request action=accept

rule create chain=sink index=5 prot=udp dstport=snmp log=yes action=count

rule create chain=sink index=6 action=drop

rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop

rule create chain=source index=0 dstintfgrp=!wan action=accept

rule create chain=source index=1 prot=udp dstport=dns action=accept

rule create chain=source index=2 prot=udp dstport=bootps action=accept

rule create chain=source index=3 prot=icmp icmptype=echo-reply action=accept

rule create chain=source index=4 prot=icmp icmptype=echo-request action=accept

rule create chain=source index=5 prot=udp srcport=snmp log=yes action=count

rule create chain=source index=6 action=drop

assign hook=sink chain=sink

assign hook=forward chain=forward

assign hook=source chain=source

 

weet iemand wat index6 doet... mbt de source?

 

de tip ging over het pingable maken of je firewall helemaal niet pingable maken..

 

cheers

[Tonskidutch]

nobody??

 

het gaat over de user.ini die je als backup kunt maken en wegschrijven naar PC

die kun je editen en dus mbt de firewall regels aanpassen indien gewenst

daarna laadt je deze user.ini weer in als upgrade

 

je default staat meestal zo dat je alcatel van buiten af niet te pingen valt..

 

ik heb dus deze even samengesteld om te zien of die zo wel te pingen is

..

maar blijkbaar niet goed

dus vandaar mijn vraag of er anderen zijn met meer clip kennis en de desbetreffende betekenis van die regels...?

 

cheers

[Edd]

Weet niet of je er iets mee kan ( zou om aanmaken van 2 rules zijn in firewall), maar hier staat er ook iets over.

[Tonskidutch]

ja hoor thanks.. <img src="/ubbthreads/images/graemlins/xyxthumbs.gif" alt="" />

 

cheers

[Ðeninux]

wat moet je daar toch mee tonski ? vertel want ik zie het nut niet zo om je pingbaar te maken ?

[Gast]

Citaat:

wat moet je daar toch mee tonski ? vertel want ik zie het nut niet zo om je pingbaar te maken ?

Je moet juist wel pingbaar zijn, om b.v. fouten op te kunnen sporen.
Het idee om pings uit te zetten om ddos aanvallen te kunnen overleven is een sprookje, omdat je lijn door de requests vol loopt en niet door de reply's.

[Gast]

Volgens mij is index 6 gwoon de laatste controle die wordt uigevoerd.

Als er dus niet aan de eerste 5 voorwaarden is voldaan wordt het pakket gedropt.

[Tonskidutch]

oké Maze,

 

duidelijk.

 

uh, natuurlijk ter controle, wat anders <img src="/ubbthreads/images/graemlins/grin.gif" alt="" /> je moet toch kunnen controleren wie,wat,waar en hoe voor dat je verdere acties kunt ondernemen in het land van bits and bytes.

 

cheers

[Gast]

Dit beschrijft zeg maar de bereikbaarheid van enkel de router zelf.

 

Samengevat staat er in het bestandje het volgende:

 

Lan kan alle poorten bereiken

DNS aanbieden Van WAN wordt geaccepteerd

Bootpc van WAN wordt geaccepteerd (wat het ook moge zijn..wakeonlan?)

Pingen van WAN wordt mogelijk

SNMP van WAN wordt mogelijk

De rest wordt weggegooid.

 

Wil je bijvoorbeeld bij de webinterface kunnen komen vanaf internet dan zou je zoiets toe kunnen voegen:

rule create chain=sink index=6 prot=tcp type=http action=accept

 

Kan zijn dat je andere termen moet gebruiken.

 

Wat precies het verschil tussen source en sink is weet ik echter niet.

Forward heeft waarschijnlijk betrekking op NAT.

[Tonskidutch]

Yep..

dank je dat moest ik ook na lang zoeken ontdekken..

met bevestiging van jou altijd beter

 

bedankt.

 

cheers

[Ðeninux]

Ok duidelijk, maar als je gewoon op je eigen webserver wil komen kan je gewoon een port forwarden dat werkt ook gewoon (bij mij dan he)

 

Wat mij wel opviel bij adsl is dat je vanaf je lokale lan niet doormiddel van je ip verbiding met jezelf kan maken om maar zo te zeggen. Wat immers bij chello wel kan, daar ook alles open staat in het modem.

 

Dus als ik mijn speedtouch pingbaar maak dan kan ik ook verbinding met mezelf testen ???

[Gast]

Nee, pingen staat daar los van.

Dat het bij Chello wel werkt komt omdat die gasten geen router leveren, maar een los modem.

Intern connect je gewoon met het interne ip adres.

Als dat echt een probleem is, moet je zelf DNS gaan draaien of op elke pc je hosts file aanpassen.

[Ðeninux]

zo doe ik het nou ook, alleen vond ik het fijner bij chello dat ik op mijn eigen ip kon cheken.

[Gast]

Dan nog zie jij je site niet van buitenaf hoor.

Daar moet je een proxy server voor instellen in je browser.

Alleen op die manier zie je de site zoals anderen hem zien.

[Tonskidutch]

www.dnsstuff.com

 

is een site om te testen bv

 

cheers