Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Accesso a GUI non funzionante

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Mer Mag 07, 2014 12:52 pm    Oggetto: Accesso a GUI non funzionante Rispondi citando

ciao ragazzi

ho un problema con l'interfaccia grafica o meglio non mi connetto più.

stavo cercando di capire come funzionavano le roule del firewall e l'unica cosa che ho cambiato è stato la sezione da input a output e da accept a drop ma non mi ricordo se ho salvato.

purtroppo però non navigo più non mi si apre nessuna finestra!!

chi mi può aiutare a sbloccare questa situazione? se no devo reistallare tutto e non volevo farlo anche perchè sto imparando ad usare zs a step.

aiuto per favore

grazie
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Mer Mag 07, 2014 1:59 pm    Oggetto: Rispondi citando

da shell tramite questi comandi:

sulla chain INPUT

iptables -A INPUT -P all -j ACCEPT

sulla chain OUTPUT

iptables -A OUTPUT -P all -j ACCEPT

sono riuscito a riaprire le connessioni verso l'interfaccia GUI e internet

mi dite per favore se avendo eseguito questo comando ho sbloccato tutte le porte di connessione?

se io volessi usare il drop su tutto e abilitare solo certe porte per uscire per rendere la mia rete più sicura cosa devo fare?

grazie
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 502

MessaggioInviato: Mer Mag 28, 2014 1:19 pm    Oggetto: Rispondi citando

Non dovresti "mai" toccare INPUT ed OUTPUT, poiché sono le chain delle connessioni a/da ZS. Lavora esclusivamente su FORWARD.
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Gio Mag 29, 2014 7:37 pm    Oggetto: Rispondi citando

grazie ndk, infatti è stato un errore mio configurare quella chai in drop e che sono riuscirto a risolvere con quelle regole di iptables.

ho bisogno però di capire come funzionano le regole di zeorshell nella sezione fw, purtroppo non riesco a capire come.

ho bisogno per esempio di creare questa/e regole, mi puoi aiutare te ne sarei grato.

ho bisogno che una macchina possa si colleghi solo alla homepage (gui) di zeroshell e nient'altro.

ho bisogno che gli utenti della rete wifi non possano digitando 192.168.0.75 arrivare neanke alla homepage di zeroshell.

come posso scrivere queste benedette regole?

grazie mille
Top
Profilo Invia messaggio privato
flavietto_it



Registrato: 25/10/13 22:46
Messaggi: 14

MessaggioInviato: Dom Giu 01, 2014 6:37 pm    Oggetto: Rispondi citando

Ne approfitto anch'io...

Per errore ho tolto la spunta "auto authorize lan" dalla sezione http della ZS 3.0 e naturalmente ora non ci accedo più via web. C'è modo di ripristinare la funzione da console? La ZS ce l'ho in remoto e vorrei evitare si andare sul posto per risolvere i miei guai.

Grazie mille.
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Lun Giu 02, 2014 9:23 am    Oggetto: Rispondi citando

Ciao anche io ho tolto al spunta su auto lan e ho lasciato solo la lan come rete abilitata all'accesso.
pero volevo creare una regola fw che da rete wifi non possa neanke digitare l'indirizzo del zeroshell e mi dia errore xo con le regole fw non ne vado fuori non capisco cone ragiona su questo campo zs. tu sai come fare?

per connettersi da remoto devi creare una vpn ed e quello che sto facendo ma purtroppo mi da errore quando una macchina client cerca di connettersi con open vpn e non capisco xke. ci sto lavorando su ma ancora niente uffa.

spero di averti aiutato un po
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 754

MessaggioInviato: Lun Giu 02, 2014 11:51 am    Oggetto: Rispondi citando

@flavietto_it
se hai abilitato ssh , entri e dai un
Codice:
 iptables -I SYS_HTTPS -j ACCEPT

Accetterà il management via https da qualsiasi ip e da qualsiasi interfaccia, dal tab Web sistemi e salvi, la regola creata via ssh verrà rimossa automaticamente.
@maverick
Dal tab Web, dichiari da quale interfaccia/e e da quale/i s.ip.address è consentito il management, es. se vuoi che sia parmesso solo dall ip. 192.168.0.100 , e dall'interfaccia ETH01, specifichi queste due valori nei rispettivi campi, tasto + , selezioni quelli che vuoi togliere, tasto - , salvi.
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Lun Giu 02, 2014 1:17 pm    Oggetto: Rispondi citando

Ciao redfive

appena riesco proverò e farò sapere a tutti.
questa regola che mi hai inserito vale anche x gli indirizzi mac o sol x interfacce e ip?
cioè dove dici te posso inserire solo il mac address? o e un parametro che non accetta?

ne approfitto anche io di chiederti un'altra cosa. posso vincolare ad una sola macchina l'accesso a zs e basta?
mi spiego posso far in modo che un pc si colleghi solo a zs senza che lo stesso vada in internet? e quindi dedicarlo solo ad amministrare zs? se si in che modo?

grazie ancora
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 754

MessaggioInviato: Lun Giu 02, 2014 2:09 pm    Oggetto: Rispondi citando

Fai partire il pool dhcp per la rete "interna" da es .20 , poi crei uno static binding mac/ip per la macchina di gestione , con un ip al di fuori del pool, es. aa:bb:cc:dd:ee:ff/192.168.0.10 , da web permetti il management solo a quell'ip, e nella chain di FORWARD, crei una regola (al primo posto), s.ip 192.168.0.10, input-interface l'intefaccia a cui è collegato il pc di gestione , output-interface l'interfaccia wan di Zs , action DROP. Se davanti a Zs avessi un altro router, e magari dal pc di management vuoi gestire anche lui evitando però che lo stesso pc vada su internet, ipotizzando che il router abbia indirizzo 192.168.1.1 e faccia parte della rete 192.168.1.0/24 , nella regola specifichi come dest.ip address NOT 192.168.1.0/24. Per il mac-address, in una rete multi-access senza switch managed, non è che puoi comunque fare molto, nel senso.. se uno giocasse di mac-spoofing, clonerebbe poi sia l'ip che il mac. Comunque, se vuoi, puoi farlo via cli, da gui per Https non è previsto il mac-address management. Se usi il proxy , crea una regola di non capture per il solito ip...tutto alla 'molto veloce'...
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Lun Giu 02, 2014 3:33 pm    Oggetto: Rispondi citando

redfive ha scritto:
Fai partire il pool dhcp per la rete "interna" da es .20 , poi crei uno static binding mac/ip per la macchina di gestione , con un ip al di fuori del pool, es. aa:bb:cc:dd:ee:ff/192.168.0.10 , da web permetti il management solo a quell'ip, e nella chain di FORWARD, crei una regola (al primo posto), s.ip 192.168.0.10, input-interface l'intefaccia a cui è collegato il pc di gestione , output-interface l'interfaccia wan di Zs , action DROP. Se davanti a Zs avessi un altro router, e magari dal pc di management vuoi gestire anche lui evitando però che lo stesso pc vada su internet, ipotizzando che il router abbia indirizzo 192.168.1.1 e faccia parte della rete 192.168.1.0/24 , nella regola specifichi come dest.ip address NOT 192.168.1.0/24. Per il mac-address, in una rete multi-access senza switch managed, non è che puoi comunque fare molto, nel senso.. se uno giocasse di mac-spoofing, clonerebbe poi sia l'ip che il mac. Comunque, se vuoi, puoi farlo via cli, da gui per Https non è previsto il mac-address management. Se usi il proxy , crea una regola di non capture per il solito ip...tutto alla 'molto veloce'...
ciao


grazie redfive ok eventualmente riduco il range di ip del dhcp cosi ne assegno uno statico per la macchina che mi interessa, ci avevo pensato ma pensavo si potesse limitare anche solo con mac.
per le regole appena ho la macchina zs sottomano ci provo e cerco di capire cosa mi hai consigliato cosi vedo come funziona il fw intanto grazie mille per i tuoi consigli e se ho bisogno ti scrivo Smile
Top
Profilo Invia messaggio privato
flavietto_it



Registrato: 25/10/13 22:46
Messaggi: 14

MessaggioInviato: Mar Giu 10, 2014 11:39 am    Oggetto: Rispondi citando

@redfive grazie mille per la risposta. Ho latitato un pochino dal forum e mi sono perso il tuo suggerimento... così ho risolto alla vecchia: sono andato fisicamente a fare un salutino alla ZS Smile
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 510

MessaggioInviato: Mer Giu 11, 2014 7:43 am    Oggetto: Rispondi citando

Ciao a tutti

allora redfive, aggiorno un po la situazione.

Funziona!! però ma c'e un però Sad sebbene io abbia messo sulla macchina amministratrice l'ip fisso deciso, la pagina di login zs si apre, ma certi siti tipo proprio il forum zs si apre lo stesso..


non capisco perchè sebbene tutto sia in drop..

per la connessione all'ip del modem si connette anche senza inserire l'ip nella sezione dest ip della regola.
infatti se lo inserisco nella barra degli indirizzi arrivo alla login anche senza che lo stesso sia abilitato tramite not nella dest. ip
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it