Re: ipmasq + port filtering recipe?

Sat, 16 Mar 2002 00:21:56 -0800 

On Fri, Mar 15, 2002 at 05:11:37PM -0500, Luke Scharf wrote:
> I've apt-get install'd the ipmasq package and the IPMasq functionality
> works great.  What I'd like to do now is to use ipchains to do the
> following:
> 1. On the external interface, I would like to only accept traffic from
> port 22 and port 80.
Here's what I did for DNS(ISP and Root Servers in Binds hints), NTP,
iand SSH;
(SSH only uses protocol 2, and pubkeyauthentication)

Copy I90external.def to I90external.rul
Add these lines;
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.100 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.100 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.8.100 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.8.100 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.8.10.90   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.8.10.90   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.4   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.4   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.63.2.53   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.63.2.53   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.33.4.12   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.33.4.12   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.112.36.4   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.112.36.4   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.5.5.241   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.5.5.241   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.9.0.107   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.9.0.107   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.10   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.10   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 193.0.14.129   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 193.0.14.129   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.32.64.12   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.32.64.12   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 202.12.27.33   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 202.12.27.33   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.36.148.17   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.36.148.17   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.203.230.10   53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.203.230.10   53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 158.43.128.33 123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.76  123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 80.0.159.1    123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -d $IPOFIF/32 22 -p tcp -l
$IPCHAINS -A input -j ACCEPT -i $i -d $IPOFIF/32 22 -p udp -l
$IPCHAINS -A input -j ACCEPT -i $i --destination-port 1025: -p tcp
$IPCHAINS -A input -j ACCEPT -i $i --destination-port 1025: -p udp
$IPCHAINS -A input -j DENY -i $i -d $IPOFIF/32 1:1024 -p tcp -l
$IPCHAINS -A input -j DENY -i $i -d $IPOFIF/32 1:1024 -p udp -l


> 2. The internal interface should be wide open - the internal network we
> trust the users who are physically in the room not to be malicious.
>
This is the default behavior of IPMasq.

HTH, Simon


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Reply via email to