Ang aking unang blog

Complete IPTables Firewall Rules

2008-02-23T16:36:00.000-08:00

#!/bin/sh -e
# /etc/init.d/firewall-rule.sh : start/stop firewalls
# written by Gabriel L. Briones III
#

FW=`which iptables`

if [ ! "$FW" ]; then
echo
echo "FATAL: Unable to locate iptables, is it installed?"
echo " or you may want to check first your PATH"
echo
echo "unable to continue, exiting ...."
sleep 2
echo
exit 1
fi

INT_IFACE=eth2 # Facing the LAN
DMZ_IFACE=eth1 # Facing the DMZ Network
EXT_IFACE=eth0 # Facing the hardware firewall
LO_IFACE=lo # loop back interface
INT_IP=`ifconfig $INT_IFACE : grep inet : cut -d : -f 2 : cut -d \ -f 1`
DMZ_IP=`ifconfig $DMZ_IFACE : grep inet : cut -d : -f 2 : cut -d \ -f 1`
EXT_IP=`ifconfig $EXT_IFACE : grep inet : cut -d : -f 2 : cut -d \ -f 1`

DMZ_WEB=192.168.0.1
DMZ_EXT_MAIL=192.168.0.3
DMZ_LDAP=192.168.0.1
DMZ_PROXY=192.168.0.4
DMZ_DNS=192.168.0.1
INT_MAIL=131.107.2.6

LAN_IP=131.107.2.0
DMZ_NET=192.168.0.0

case "$1" in

start)

echo -n "Starting Jon's Firewall Rules"

# Set default policy to DROP
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD DROP

# Flush all rules first to make sure that we are starting from scratch
$FW -t nat -F
$FW -t mangle -F
$FW -X
$FW -F

# Explicitly turn off ECN (explicit congestion notification)
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Allow traffic to loop back interface
$FW -A INPUT -i $LO_IFACE -j ACCEPT

# Spoof protection
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# SYN Flood protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#The Mangle portion of the ruleset.
#Here is where unwanted packet types get dropped.
#This helps in making port scans against your server
#a bit more time consuming and difficult, but not impossible.
$FW -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
$FW -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
$FW -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$FW -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

################## CUSTOM RULES !!!!!!! ##################
$FW -N firewalled
$FW -A firewalled -m limit --limit 15/minute -j LOG --log-prefix Firewalled:
$FW -A firewalled -j DROP

$FW -N bad_tcpflags
$FW -A bad_tcpflags -m limit --limit 15/minute -j LOG --log-prefix BAD_TCP_FLAGS:
$FW -A bad_tcpflags -j DROP
###########################################################

################## INPUT CHAIN !!!!!!! ####################
# These are all TCP flag combinations that should never, ever, occur in the
# wild. All of these are illegal combinations that are used to attack a box
# in various ways.
$FW -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ACK,URG URG -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags RST,FIN RST,FIN -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags SYN,ACK NONE -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags SYN,URG SYN,URG -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL NONE -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL ALL -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL SYN -m state --state ESTABLISHED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL RST -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL ACK -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL SYN,PSH -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL PSH,ACK -m state --state RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL RST,ACK -m state --state RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL SYN,ACK -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL FIN,ACK -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL SYN,ACK,PSH -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL FIN,PSH,ACK -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL ACK,PSH,RST -m state --state NEW,RELATED -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j bad_tcpflags
$FW -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j bad_tcpflags

# Allow ESTABLISHED and RELATED connections
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow some services only
$FW -A INPUT -p tcp --dport 22 -j ACCEPT
#################################################################

################# FORWARD CHAIN !!!!! ###########################

$FW -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow only access to the internal network on the proxy server
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_PROXY -s $LAN_IP/24 --dport 8080 -j ACCEPT

# Allow external packet destined to publicly accessed services like SMTP, HTTP and HTTPS
$FW -A FORWARD -p tcp --dport 22 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $EXT_IFACE -s 131.107.2.92/32 -j ACCEPT

$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_WEB/32 --dport 80 -j ACCEPT
$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_WEB/32 --dport 443 -j ACCEPT

$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_EXT_MAIL/32 --dport 25 -j ACCEPT
$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_EXT_MAIL/32 --dport 80 -j ACCEPT
$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_EXT_MAIL/32 --dport 443 -j ACCEPT
$FW -A FORWARD -i $EXT_IFACE -o $DMZ_IFACE -p tcp -d $DMZ_EXT_MAIL/32 --dport 993 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --dport 80 -s $INT_MAIL/32 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --dport 443 -s $INT_MAIL/32 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --dport 21 -s $INT_MAIL/32 -j ACCEPT

# Allow Local networks to access servers on DMZ
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_PROXY --dport 80 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_PROXY --dport 443 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_DNS --dport 53 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p udp -d $DMZ_DNS --dport 53 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_EXT_MAIL --dport 25 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_EXT_MAIL --dport 80 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_EXT_MAIL --dport 443 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_EXT_MAIL --dport 143 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_EXT_MAIL --dport 993 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_WEB --dport 80 -j ACCEPT
$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_WEB --dport 443 -j ACCEPT

$FW -A FORWARD -i $INT_IFACE -o $DMZ_IFACE -s $LAN_IP/24 -p tcp -d $DMZ_LDAP --dport 389 -j ACCEPT

# Allow machines on DMZ to access the net for security updates and bug fixes
$FW -A FORWARD -i $DMZ_IFACE -o $EXT_IFACE -s $DMZ_EXT_MAIL/32 -j ACCEPT
$FW -A FORWARD -i $DMZ_IFACE -o $EXT_IFACE -s $DMZ_PROXY/32 -j ACCEPT
$FW -A FORWARD -i $DMZ_IFACE -o $EXT_IFACE -s $DMZ_WEB/32 -j ACCEPT

##################################################################

################ OUTPUT CHAIN !!!!! ##############################
$FW -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$FW -A OUTPUT -o $LO_IFACE -j ACCEPT
$FW -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
$FW -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$FW -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$FW -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$FW -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$FW -A OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
###################################################################

for CHAINS in INPUT FORWARD OUTPUT
do
# Allow some icmp packet and DROP the rest
$FW -A $CHAINS -p icmp --icmp-type 0 -j ACCEPT
$FW -A $CHAINS -p icmp --icmp-type 3 -j ACCEPT
$FW -A $CHAINS -p icmp --icmp-type 11 -j ACCEPT
$FW -A $CHAINS -p icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
$FW -A $CHAINS -p icmp -j firewalled
done

# SNAT LAN's IP
$FW -t nat -A POSTROUTING -o $EXT_IFACE -s $DMZ_NET/24 -j SNAT --to $EXT_IP
$FW -t nat -A POSTROUTING -o $EXT_IFACE -s 131.107.2.92/32 -j SNAT --to $EXT_IP

$FW -t nat -A POSTROUTING -o $EXT_IFACE -s $INT_MAIL/32 -j SNAT --to $EXT_IP

# DNAT connections from outside
$FW -t nat -A PREROUTING -i $EXT_IFACE -d 202.164.182.83 -p tcp --dport 80 -j DNAT --to $DMZ_EXT_MAIL
$FW -t nat -A PREROUTING -i $EXT_IFACE -d 202.164.182.83 -p tcp --dport 443 -j DNAT --to $DMZ_EXT_MAIL
$FW -t nat -A PREROUTING -i $EXT_IFACE -d 202.164.182.83 -p tcp --dport 993 -j DNAT --to $DMZ_EXT_MAIL

$FW -t nat -A PREROUTING -i $EXT_IFACE -d $EXT_IP -p tcp --dport 25 -j DNAT --to $DMZ_EXT_MAIL

$FW -t nat -A PREROUTING -i $EXT_IFACE -d $EXT_IP -p tcp --dport 80 -j DNAT --to $DMZ_WEB
$FW -t nat -A PREROUTING -i $EXT_IFACE -d $EXT_IP -p tcp --dport 443 -j DNAT --to $DMZ_WEB
$FW -t nat -A PREROUTING -i $EXT_IFACE -d $EXT_IP -p tcp --dport 993 -j DNAT --to $DMZ_WEB

# Layer 7 filterring
$FW -t mangle -A POSTROUTING -m layer7 --l7proto yahoo -j DROP
$FW -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
$FW -t mangle -A POSTROUTING -m layer7 --l7proto msn-filetransfer -j DROP
$FW -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP
$FW -t mangle -A POSTROUTING -m layer7 --l7proto irc -j DROP

echo "."

;;

stop)

echo -n "Flushing Jon's Firewall Rules"

$FW -P INPUT ACCEPT
$FW -P FORWARD ACCEPT
$FW -P OUTPUT ACCEPT
$FW -t nat -F
$FW -t mangle -F
$FW -F
$FW -X

echo "."

;;

status)

$FW -t nat -L
$FW -t mangle -L
$FW -L

;;

restart)
$0 stop
$0 start
;;

*)
echo 'Usage: /etc/init.d/firewall.rules {start:stop:restart}'
exit 1

esac

exit 0

2006-10-26T23:33:00.000-07:00

Me and Mr. Dennis Atkinson (Brother of Rowan Atkinson A.K.A. Mr. Bean)

Dito ako nakatira

2006-08-17T03:17:00.000-07:00

Bridge network at IPTables sa Linux

2006-07-23T23:02:00.000-07:00

Sa pagkakataong ito ay tatalakayin ko naman kung paano gumawa ng Bridged type na firewall.

Una sa lahat, ano ba ang bridged type na network?

LAN ---- BRIDGE DEVICE ---- ROUTER

sa pagsasalarawan na nasa itaas ay makikita natin an ang posisyon ng bridge device ay naka IN-LINE sa LAN at ROUTER, pero hindi alam ng LAN na may BRIDGE DEVICE sa pagitan niya at ng ROUTER samakatuwid, ang bridge type na firewall ay isang epektibong solusyon kung ayaw mong magpalit ng IP ng router at ng LAN. Tinatawag din ang bridged type na firewall na Transparent Firewall.

Ang mga kinakailangan:

IPTables (siyempre naman)
bridged-utils
Dalawa o higit pang Network Card (siyempre din naman)

Ipagpalagay nating dalawa ang network card ng ating bridge firewall, kinakailangan nating i up ang NIC ngunit hindi natin lalagyan ng IP, bakit? kasi nga bridged firewall ito at hindi niya kailangan ng IP

ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up

yan, naka up na ang NIC pero walang IP, kapag nag issue ka ng command na ifconfig, ganito dapat ang lalabas

eth0 Link encap:Ethernet HWaddr 00:0B:6A:C5:C2:5D
inet6 addr: fe80::20b:6aff:fec5:c25d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3332563221 errors:0 dropped:0 overruns:0 frame:0
TX packets:3382238062 errors:0 dropped:0 overruns:20 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2729358673 (2.5 GiB) TX bytes:386041953 (368.1 MiB)
Interrupt:10 Base address:0xb800

eth1 Link encap:Ethernet HWaddr 00:04:76:73:3C:2C
inet6 addr: fe80::204:76ff:fe73:3c2c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3377799673 errors:0 dropped:0 overruns:30349 frame:0
TX packets:3314537649 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3566158420 (3.3 GiB) TX bytes:8320849 (7.9 MiB)
Interrupt:5 Base address:0xbc00

ang susunod nating gagawin ay gagawa na tayo ng interface para sa bridge. Gwain lamang ang mga command na gaya ng nasa ibaba

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 up

yung unang hanay ay nagsasabing mag gawa ng bridge interface na ang pangalan ay br0 (puede nyo itong baguhin, nasa sainyo yun)

yung pangalawa at pangatlong hanay ay nagsasabing ang miyembro ng bridged na br0 ay eth0 at eth1

yung pang huli ay nagsasabing i up na ang bridge interface na br0

Sa pagkakataong ito ay dapat na gumagana na ang ating bridged type na setup. para ma test ito ay ikonekta ito ng naka IN-LINE sa LAN at ROUTER dapat ay parang walang nangyari kapag ginawa ito.

Ang mga packet ay dapat na dumaloy na walang problema dahil sa hindi pa naman tayo gumagawa ng mga restriksyon sa ating bridged device.

kung ang mga packet ay dumadaloy ng maayos, oras na para gumawa ng mga rules na maglilimita sa pagdaloy ng packet.

kung paano gumawa ng rules ay basahing muli ang aking isinulat patungkol sa IPTables

huwag kalimutang i enable ang ip forwarding

echo "1" > /proc/sys/net/ipv4/ip_forward

Hanggang sa muli.

Transparent Proxy at IPTables

2006-07-11T01:17:00.000-07:00

marami ang nagtatanong kung paano ba ang gumawa ng isang transparent na proxy. Marami nang mga documents na nagkalat sa internet kung paano ito gawin pero wala lang gusto ko lang itong ilagay.

Simulan na natin.

Ang mga kinakailangan:

Squid - karamihan malamang ay sasangayon sa akin kapag sinabi kong ito ang pinaka popular na proxy server na open source.
IPTables - kung paano ito gamitin eh basahin nyo lang ang blog ko, may isinulat na akong tutorial tungkol dito.

Sa palagay ko ay hindi ko na kailangang talakayin kung paano mag install ng squid at IPTables dahil kung hindi kayo marunong nun eh malaki ang problema nyo.

simulan natin sa pagconfigure ng squid

buksan ang squid.conf na file at ilagay ang mga impormasyong kagaya ng nasa ibaba

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

then mag lagay lang ng rule na mag redirect ng http traffic sa squid port

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

sa senaryong ito ay pinapalagay na ang gateway ng mga client ay ang proxy server mismo

ang kinakailangan na lang gawin ay paandarin ang squid at i test na ang mga client.

PAANO NAMAN KUNG ANG PROXY AT IPTABLES AY MAGKAIBANG MAKINA, POSIBLE BA??

wag kag sumigaw, ang sagot sa tanong mo eh posible.

May dalawang approach para magawa ito, una:

sa IPTables na makina, maglagay lamang ng IPTables rules na kagaya ng mga sumusunod:

iptables -t nat -A PREROUTING -i eth0 -s ! IP_NG_SQUID -p tcp --dport 80 -j DNAT --to IP_NG_SQUID:3128
iptables -t nat -A POSTROUTING -o eth0 -s IP_NG_NETWORK -d IP_NG_SQUID -j SNAT --to IP_NG_IPTABLES

Tandaan: ang nasa itaas na approach eh hindi gumagana sa iba, wag nyo akong tanungin kasi hindi ko rin alam kung bakit

Pangalawang approach:
mangangailangan tayo ng tools na part ng iproute2 na package,normaly ay kasama na ito sa inyong linux distribution.

gawin lamang ang mga sumusunod na commands sa IPTables na makina

iptables -t mangle -A PREROUTING -j ACCEPT -p tcp --dport 80 -s IP_NG_SQUID
iptables -t mangle -A PREROUTING -j MARK --set-mark 3 -p tcp --dport 80
ip rule add fwmark 3 table 2
ip route add default via IP_NG_SQUID dev eth0 table 2
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

kung may problema o nais nyo pa ng mas maraming impormasyon ay sumangguni na lamang sa link na ito

http://www.tldp.org/HOWTO/TransparentProxy.html

yun lang at maraming salamat. Hanggang sa muli

Paboritong Linya sa kanta ng Firehouse

2006-02-26T20:43:00.000-08:00

With every kiss our love is like brand new
And every star up in the sky was made for me and you
Still we both know that the road is long
We know that we could be together because our love is strong

I've finally found the love of a lifetime
A Love to last my whole life through

.....

When I look into you eyes
I can see how much I love you
And it makes me realize
When I look into your eyes
I see all my dreams come true
When I look into your eyes

Paano gumawa ng Firewall na gamit ang IPTables (Part 4)

2006-02-19T22:38:00.000-08:00

Sa nakaraang pag-aaral ay natutunan natin (may natutunan ba?) ang paggawa ng tumatayong magisa na firewall (stand alone firewall). Ngayon naman ay pag-aaralan natin kung paano gumawa ng firewall na magsisilbi ding gateway o router ng ating network. Kung isasalarawan natin ang aking sinasabi ay ganito ang kalalabasan.

LAN <----> FIREWALL <----> INTERNET

bale ang ating firewall ay may dalawang NIC, isang nakaharap sa internet at isa ang nakaharap sa ating network na siyang magsisilbing default gateway ng mga miyembro sa ating LAN.

Narito ang ating mga gagamitin sa design ng ating ng firewall:

Makinang Firewall:
dalawang Network Card: (eth0 and eth1)
kung saan:
eth0 == Ang NIC na nakaharap sa internet
eth1 == Ang NIC na nakaharap sa LAN

IP ng eth0 sa firewall: 1.2.3.4 (Public IP)
IP ng eth1 sa firewall: 192.168.0.254

IP ng LAN: 192.168.0.0/24

Serbisyong tumatakbo sa firewall:
SSH (22)

Nota:
Para sa kaalaman ng lahat, ang /24 ay katumbas ng netmask na 255.255.255.0

Maglagay din tayo ng Mail Server at Web Server sa loob ng LAN na may settings na kagaya ng mga sumusunod:

IP Ng Web Server: 192.168.0.252
IP Ng Mail Server: 192.168.0.253

Ang mga kinakailangang makamit:

1.) Payagang makalabas ang packet ng Mail Server ngunit sa port lamang ng SMTP (25).
2.) Ang papayagan lamang na makapag internet ay ang mga IP na 192.168.0.1, 192.168.0.10 at 192.168.0.100.
3.) Payagan ang buong mundo na maka access sa Web Server at Mail Server.
4.) Payagang maka pasok ang kahit sino sa OpenSSH na tumatakbo sa firewall
5.) Payagang maka access ang makinang firewall sa port 80 at 21 lamang para makakuha ng updates sa internet.
6.) Maliban sa mga nabanggit sa itaas, wala nang packet na papayagang makadaloy.

Base sa mga kailangang makamit ay masasabi nating lahat ng chains ay magagamit natin ngayon, hindi kagaya nung stand alone na firewall na puro INPUT chain lang ang nagamit.

Umpisahan na natin ang pag design sa ating firewall:

Kagaya ng nauna nating pag-aaral, uumpisahan natin ang rules na DROP lahat by default, kaya ang unang unang rule na dapat nating ilagay ay ang mga sumusunod:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

At para makasiguro tayong walang firewall rules na tumatakbo ay isunod datin ang rule na kagaya ng nasa ibaba:

iptables -F

At dahil sa ang firewall ay magsisilbi ring router/gateway, kailangan nating i enable ang ip forwarding sa pamamagitan ng command na gaya ng nasa ibaba

echo "1" > /proc/sys/net/ipv4/ip_forward

Ngayon ay isa-isahin natin ang mga dapat na allowed lamang base sa requirements.

1.) Payagang makalabas ang packet ng Mail Server ngunit sa port lamang ng SMTP (25).

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT

dito ay gumamit tayo ng panibagong opsyon na hindi nabanggit sa mga una nating pag-aral, ito ay ang "-i eth1", "-o eth0", at "-s 192.168.0.253" kung saan ang "-i" ay tumutukoy sa input interface, "-o" naman ay tumutukoy sa output interface at ang "-s" ay tumutukoy naman sa source IP na sa pagkakataong ito ay ang IP ng ating Mail Server.

Kung isasalin ulet natin sa salita ang rule ng gaya sa itaaas ay ganito ang kakalabasan

"Magdagdag ng rule na magpapasa (-A FORWARD) at pumasok sa interface eth1 (-i eth1) at lumabas sa interface eth2 (-o eth2) na ang protocol ay tcp (-p tcp) at papunta sa port ng SMTP (--dport 25) na galing sa ip na 192.168.0.253 (-s 192.168.0.253) at ito ay tanggapin (-j ACCEPT)"

2.) Ang papayagan lamang na makapag internet ay ang mga IP na 192.168.0.1, 192.168.0.10 at 192.168.0.100.

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT

Sa mga naunang rule ay pinapayagan natin ang ilang packet na makadaloy sa FORWARD chain at ang intensyon ay makalabas sa internet, ngunit para magkaroon ka ng komunikasyon sa internet ay kailangan mo ng public IP. Paano mo ito ngayon gagawin? Ang sagot? mag translate ka ng pribadong IP sa public IP. Gawin lang ang kagaya ng rule na nasa ibaba para makapag translate.

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

mapapansin nyo na gumamit tayo ng "-t nat" na opsyon na kung saan ito ay tumutukoy sa pangalan ng table na gagamitin. Kinakailangan nating gamitin ang opsyon na -t dahil kapag hindi natin ito ginamit, ito ay gagamit ng filter table sa kadahilanang ito ang siyang default.

gumamit din tayo ng POSTROUTING na chain sa kadahilanang ito ang huling stage na dadaanan papalabas, dito tayo dapat mag translate ng IP

gumamit din tayo ng "-j SNAT --to 1.2.3.4" na ang ibig sabihin ay "source translation" na ang kasunod ay ang translated na IP na sa pagkakataong ito ay ang public IP

3.) Payagan ang buong mundo na maka access sa Web Server at Mail Server.

Ito naman ay manggagaling sa internet ang packet at papunta sa ating Mail at Web Server na kung saan ay parehong nasa likod ng firewall at pareho ring pribado ang IP.

Muli ay kailangan nating mag translate ng IP ngunit sa pagkakataong ito ay mula sa Public IP ay i translate natin para maging pribadong IP, kaya ang chain na dapat nating gamitin ay ang PREROUTING chain.

at dahil sa ang destinasyon ng packet ay mula sa labas papunta sa loob ng LAN, kailangan din nating payagan ang packet sa FORWARD chain.

kaya kung isusulat natin ang rule ay ganito ang kalalabasan:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT

4.) Payagang maka pasok ang kahit sino sa OpenSSH na tumatakbo sa firewall

Ang service na ito ay sa firewall mismo tumatakbo kaya ang chain na dapat nating gamitin ay ang INPUT chain

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

5.) Payagang maka access ang makinang firewall sa port 80 at 21 lamang para makakuha ng updates sa internet.

Ito naman ay mula sa firewall papunta sa internet ngunit sa port lamang na 80 at 21. Dahil ito ay mula nasa firewall, hindi na natin kailangang mag translate ng IP dahil siya na mismo ang may public IP, kaya ang kailangan na lang nating gawin ay payagan ang port 80 at 21 na makalabas mula sa firewall. Tingnan ang rule sa ibaba

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT

6.) Maliban sa mga nabanggit sa itaas, wala nang packet na papayagang makadaloy.

wala na tayong kinakailangang rule para makamit ang huling requirement na ito sa kadahilanang DROP ang ating default policy sa lahat ng chain, maliban sa nga pinayagan nating makalusot sa firewall, lahat ay babawalan na.

Kaya kung pagsasama-samahin natin ang mga rules ay ganito ang kalalabasan

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -F

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT

Sa tingin nyo ba ay okay na? kung ang sagot nyo ay Oo, mag-isip ulet kayo dahil nagkakamali kayo, dahil kung matatandaan nyo sa mga nakaraan nating pag-aaral ay kailngan nating gawing stateful ang ating firewall kung saan ay papayagang makalusot ang mga packet na parte na ng aktibong kuneksyon at may relasyon sa aktibong kuneksiyon.

At isa pang importanteng rule ay ang pag-allow ng DNS traffic sa na dumaloy sa firewall, kahit hindi natin binanggit sa requirement na dapat itong i-allow ay kailangan nating isama ang rule na mag aallow sa DNS traffic, kaya kailangan nating isama ang mga sumusunod na rule:

iptables -A FORWARD -p tcp --dport 53 ACCEPT
iptables -A FORWARD -p udp --dport 53 ACCEPT

iptables -A OUTPUT -p tcp --dport 53 ACCEPT
iptables -A OUTPUT -p udp --dport 53 ACCEPT

Kaya kung kukumpletohin natin ang ating firewall ay ganito ang kalalabasan. Isaayos na rin natin ang pagkakasunod-sunod para magandang tingnan

# Mag set ng DROP na default policy sa tatlong mayor na chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# i-flush muna ang rule para sigurado
iptables -F

# i-enable ang ip forwarding
echo "1" > /proc/sys/net/i[v4/ip_forward

# Payagan ang ESTABLISHED at RELATED na packet sa lahat ng chain
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Payagan ang SSH connection papunta sa firewall
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Payagan ang DNS traffic na dumaloy sa firewall
iptables -A FORWARD -p tcp --dport 53 ACCEPT
iptables -A FORWARD -p udp --dport 53 ACCEPT

# I-translate ang packet na patungo sa Mail at Web server
# sa kadahilanang ang mga ito ay pribado lamang ang IP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252

# Payagan ang Mail server mula sa LAN na makalabas papunta sa port 25
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT

# Payagan ang mga ip na 192.168.0.1, 192.168.0.10 at 192.168.0.100 na
# makalabas sa internet
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT

# Payagan ang mga packet mula sa labas papunta sa loob ng LAN
# ngunit sa Mail at Web Server lamang
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT

# I-translate ang sa public IP kapag ang source IP ay mula sa LAN
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

# Payagan ang firewall na makapag internet ngunit limitado lamang sa port na 80 at 21
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT

# Payagan ang firewall na maka-acess din ng DNS server
iptables -A OUTPUT -p tcp --dport 53 ACCEPT
iptables -A OUTPUT -p udp --dport 53 ACCEPT

Paano gumawa ng Firewall na gamit ang IPTables (Part 3)

2006-02-13T19:22:00.000-08:00

Ngayon ay gagawa tayo ng disenyo ng isang basic na firewall, may mga makikita kayo ditong mga bagong opsyon na ginamit, sisikapin kong ipaliwanag ang mga ito habang ating pinag-aaralan.

Ang mga requirements ay ang mga sumusunod:

Mga services na tumatakbo sa firewall:
Web (80)
SMTP (25)
Secured Web (443)
Secured Shell (22)

ang kailangan lang ay yung mga nabanggit na services ang dapat lang na payagang makalusot sa firewall, at dapat na ang firewall natin ay makakuha ng updates mula sa internet para masigurong latest at patched ang mga packages na naka install.

pakatandaan na ang mga services ay sa firewall mismo tumatakbo kaya ang gagamitin nating CHAIN ay ang INPUT chain.

Isang magandang practice sa kahit anong firewall design ang mag set ng Default policy na DROP

kaya ang unang linya na dapat makita sa ating firewall ay kagaya ng nasa ibaba

iptables -P INPUT DROP

at marapat lang na sundan agad ng pag Flush ng rule para masigurong walang aktibong rule na tumatakbo kapag pinatakbo na natin ang ating firewall. magagawa ito sa pamamagitan ng paggaya sa rule na nasa ibaba.

iptables -F

hindi muna tayo mag seset ng default policy na DROP sa FORWARD at OUTPUT chain dahil tatalakayin din natin yun sa ibang pagkakataon kung saan ang firewall natin ay ginagamit din nating router o gateway ng ating LAN

Sa ibaba nito ay ang pag allow ng mga services isa-isa. tingnan ang halimbawa sa ibaba

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

dito ay gumamit tayo ng mga panibagong opsyon na -p at --dport kung saan ang -p ay tumutukoy sa pangalan ng protocol na sa pagkakataong ito ay tcp habang ang --dport naman ay tumutukoy sa mismong port number na sa pagkakataong ito ay 80.

mapapansin nyo rin na ang opsyon na --dport ay may dalawang gitling (dashes), ito ay sa kadahilanang ito ay tinatawag na sub-options, ibig sabihin, hindi ito magiging available kung hindi gagamitin ang parent module option, samakatuwid ang rule na kagaya ng nasa ibaba ay hindi maaaring gamitin

iptables -A INPUT --dport 80 -j ACCEPT

ito ay mag reresulta sa pagkakamaling kagaya ng nasa ibaba

iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

sinabi niyang "Unknown arg `--dport' dahil hindi nag specify ng parent module option na siyang mag eenable sa --dport na sub-option

pakatandan na isa sa napakaimportanteng pre-requisites sa paggawa ng firewall ay ang kaalaman sa mga standard na port.

kung isusulat nating muli ang firewall rule para magawa natin ang mga requirements ay ganito ang kalalabasan

iptables -P INPUT DROP

iptables -F

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dpor 22 -j ACCEPT

sa tingin nyo ba ay okay na ito? kung ang sagot nyo ay Oo eh nagkakamali po kayo, dahil meron pang isang requirement na hindi pa natin nagagawa. Yun ang ang pag payag sa firewall na makakuha ng updates mula sa internet.

Nag set tayo ng Default policy sa INPUT chain na DROP, ngunit hindi tayo nag set sa FORWARD at OUTPUT chain, ibig bang sabihin nito eh pinapayagang nang makalabas ang packet? Ang sagot ay OO.

Pero kapag nagtangka tayong kumuha ng updates mula sa internet eh hindi tayo makakuha, bakit kaya?

Ganito yan, pinapayagan ng firewall na makalabas ang packet dahil ACCEPT ang default policy sa OUTPUT chain, NGUNIT yung packet na pabalik na yun nga ang mga packet na galing sa internet papunta sa ating firewall ay hindi pinapayagang makapasok dahil ito ay dadaan sa INPUT chain, at dahil ang pabalik na packet ay iba ang port na dadaanan na magsisimula sa port 1025 hanggang 65535 na tinatawag din nating mga "unprivelege port", ito ay hindi papayagan ng ating firewall dahil ang pinapayagan lang na makapasok ay ang packet na ang destinasyon ay ang port na 80, 443, 25 at 22. Paano ngayon yan? hindi naman natin puedeng ibukas ang port magmula 1025 hanggang 65535 dahil ito'y magiging sanhi ng pag ka hack ng ating system dahil marami nang port na bukas.

Ang solusyon ay kailangan nating gawing stateful ang ating firewall. Ano ba ang stateful firewall? Ito ay ang pagpayag sa mga packet na parte na ng existing ng connection (ESTABLIHED) o di kaya'y ng packet na may relasyon na sa existing na connetion (RELATED).

dahil state na ng packet ang pinag-uusapan dito, kailangan na natin ng panibagong modules option na -m na kasunod ang salitang "state" at sub-option na --state at ito ay i aapply natin sa INPUT chain. Tingan ang halimbawa sa ibaba

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

kaya kung kukumpletohin na natin ang ating firewall rule ay ganito ang kalalabasan

iptables -P INPUT DROP

iptables -F

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

ngayon, kumpleto na ang ating basic na firewall design na kung saan ay limitado lang sa port na 80, 443,25 at 22 ang pinapayagang makapasok.

Paano gumawa ng Firewall na gamit ang IPTables (Part 2)

2006-02-12T22:18:00.000-08:00

Sa unang part ay nalaman natin ang daloy ng packet, importante kasing matutunan muna kung paano dumadaloy ang packet para makagawa tayo ng kahit basic na firewall.

Ngayon naman ay pag-aaralan natin ang mga commands na madalas na ginagamit sa IPTables.

-A ay ginagamit para dugtungan (append) ang firewall rule
-I ay ginagamit para mag singit (Insert) ng rule sa firewall
-P ay ginagamit para i-set ang Default Policy
-F ay ginagamit para i-Flush ang rule
-D ay ginagamit para mag delete ng rule

Halimbawa:

Para mag set ng DROP na maging default policy, gamitin lang ang -P na command

iptables -P INPUT DROP

para naman mag append ng rule, gawin ang command na ito

iptables -A INPUT -i ! eth1 -j ACCEPT

mapapansin nyo na may ginamit akong opsyon na -i at -j, ang -i ay tumutukoy sa pangalan ng interface gaya ng eth0, eth1. At ang -j naman ay tumutukoy sa aksyon na gagawin sa rule kung ACCEPT, DROP or REJECT. ACCEPT ay para payagan ang packet na makalusot, samantalang ang DROP at REJECT naman ay para hindi payagan ang packet na makalusot, ang kaibahan lang nilang dalawa ay sa DROP ang packet ay tahimik na binabawalang makapasok samantalang ang REJECT naman ay nagbibigay ng impormasyon na ang packet ay hindi nakalusot.

mapapansin nyo rin na may ginamit akong ! na simbolo, ito ay para sabihing ang tatangaping packet lang ay ang packet na hindi papunta sa eth1.

kung isasalin natin sa salita ang IPTables rule na nasa itaas ay ganito ang kalalabasan

"Magdugtong ng IPTables rule (-A) na papunta sa INPUT chain ngunit hindi papunta sa eth1 (-i ! eth1) at ito'y palusutin (-j ACCEPT)"

marami pang commands na ginagamit sa CHAIN ng IPTables ngunit ang mga nabanggit sa itaas ang kadalasang ginagamit, para makita nyo ang mga commands at opsyon i-type nyo lang ang "man iptables" (Hindi kasama ang quotes).

Paano gumawa ng Firewall na gamit ang IPTables (Part 1)

2006-02-09T18:19:00.000-08:00

Gaya ng naipangako ko, maglalagay ako dito ng tutorial about IPTables and ito na ang katuparan nung pangakong yun.

Una sa lahat, ano ba ang Firewall? ano ba ang IPTables? Bakit natin ito kailangan?

Ang firewall sa madaling salita eh isang teknolohiya (teknolohiya nga ba?) na siyang nagsisilbing bakod ng ating network para malimitahan ang mga pagpasok at paglabas ng packet.

Ang IPTables naman ay isang kasangkapan na gamit ng manggagamit (userland tool) na siyang direktang nakikipagusap sa kernel ng GNU/Linux na kung saan ang huli ay may built-in na mga chains. ang mga chains na ito ay ang INPUT, FORWARD at ang OUTPUT chains.

Meron ding dalawang chains na ang tawag ay PREROUTING at POSTROUTING chain at ito ang una at huling dadadanan ng packet. PREROUTING ay ang unang dadaanan at ito ang nag dedesisyon kung ang packet ba ay papunta mismo sa firewall box o di kaya'y papunta sa ibang makina. Tingnan ang mga representasyon sa ibaba

Itong representasyon na ito ay nagpapakita ng daloy ng packet na papunta sa FORWARD chain na ang ibig sabihin ay hindi sa firewall ang destinasyon ng packet kundi sa ibang makina.

papasok-->PREROUTING-->FORWARD-->POSTROUTING-->palabas

ito naman ay nagpapakita ng daloy ng packet na ang destinasyon ay ang firewall mismo

papasok-->PREROUTING-->INPUT

Ito naman ay nagpapakita ng daloy ng packet na galing mismo sa firewall

lokal na proseso-->OUTPUT-->POSTROUTING-->palabas

sa madaling salita, depende kung saan ang destinasyon ng packet, ang kanyang daloy ay ang mga sumusunod:

* PREROUTING, FORWARD at POSTROUTING chain ang dadaanan kapag sa ibang makina ang destinasyon

* PREROUTING at INPUT chain naman kapag ang destinasyon ay ang firewall mismo

* OUTPUT at POSTROUTING chain naman kapag ang packet ay galing mismo sa firewall at palabas

Succesfully migrated CheckPoint Firewall Into IPTables

2006-01-26T21:21:00.000-08:00

whew!! talagang masakit sa ulo ang mag migrate from an expensive proprietary firewalls into IPTables, ngunit kahit gaano pa siya kahirap, walang imposible basta ginusto :-)

ang isang linya ng rule sa checkpoint ay katumbas ng halos sampung linya sa IPTables, depende pa kung paano iginrupo ni checpoint ang mga object.

pero dahil sa talagang gusto kong patunayan na kaya ng IPTables ang kayang gawin ni CheckPoint hindi ako nagdalawang isip na gumawa ng katumbas na Rules sa IPTables. Sa tulong ng kaalaman sa shell scripting yung halos 200 lines na rule eh naging halos 100 lines na lang :-)

hindi magtatagal eh maglalagay ako dito ng tutorial or at least overview kung paano ba gumawa ng firewall using IPTables, sa ngayon eh ito muna

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptab;es -P OUTPUT DROP

iptables -F

the best firewall in the world!! :-)

IPTables ROCKS!!!!

LOST (Linux One Stanza Tip)

2006-01-25T18:39:00.000-08:00

wala lang, naisip ko lang na ilagay dito, wala kasi akong magawa eh. Naisip ko magandang basahin din ang mga One Stanza Tip dahil minsan at sa ibang pagakakataon naman eh madalas itong na sobrang tingin (overlook). anyway ito na po

Linux One Stanza Tip (LOST)

Ubuntu Planet

2006-01-25T02:17:00.000-08:00

Akalain mo nakasama pa ako sa people of ubuntu-ph hehe, salamat kay ealden :-)

Sabi ni ealden, ang last post ko pa dito sa blog ko eh January 2005, which is true, hindi kasi talaga ako blogger pero sa tingin ko walang masama na magkalaman ulet itong blog ko since ang sabi ko nga eh maglalaman naman ito ng kung anu-ano.

Hanggang dito na lang muna, tinatamad akong mag type eh, hanggang sa muli ... paalam

unang domain

2005-01-27T23:10:00.000-08:00

sa wakas may domain na rin ako, salamat sa idotz.net, sa humigit kumulang sa Php 500 kada taon eh may domain ka na at sa zoneedit.com kung saan naka host ang aking DNS para sa aking domain.

Dahil may sarili na akong domain, naisip kong maglagay ng sarili kong email system. Una kong naisip ang gumamit ng POSTFIX Wala akong naging problema sa paggamit ko ng POSTFIX kaya lang gusto kong magkaroon ng virtual email hosting na kung saan ang aking sariling "desktop computer" muna ang aking gagawing "test machine". Magpahanggang ngayon, di ko pa nagagawa o di pa ako nakakapag configure ng virtual email sa kahit anong MTA, at nung mga panahong nag-iisp ako kung paano ko yun gagawin, palagi kong kausap ang mga dati kong kasama sa trabaho na sina blink, kamandag at netsektor na nagkataong puro gumagamit ng QMAIL. Sila ang nagsabi sa aking bakit di ko subukan ang QMAIL. nagbasa basa ako ng mga babasahin sa internet at nakita ko ang lifewithqmail.org at ang qmailrocks.org na kung saan napakalinaw na tinalakay ang mismong nais kong mangyari at sa isang iglap eh nagkaroon ako ng virtual email na kung saan nakakabit ang aking kauna-unahang domain. At sa patuloy kong pagbabasa, nakita ko ang benipisyo sa paggamit ng QMAIl, sa usaping seguridad, estabilidad at sa pagiging "user friendly" sa aming mga sysad.

ang aking domain ay jond3rd.org at may email akong jon@jond3rd.org

sa susunod ay itatalakay ko kung paano ko binuo ang aking QMAIL na sistema, masasabi ako, maligaya ako sa natuklasan ko :-)

hanggang sa muli

-jon-

Maglalaman ito ng kung anu-ano lang

2004-12-28T19:02:00.000-08:00

Ewan ko kung magugustuhan nyo ang ilalagay ko dito pero wala akong pakialam kung hindi nyo magustuhan kase hindi naman kayo ang nagpapalamon sa akin.

Harinawa matapos ko ito agad at siyanga pala, bukas ang aking email para sa komento at suhestiyion kung anong magandang ilagay dito sa aking unang blog.

ang email ko ay jond3rd@gmail.com