Potser millor: iptables -P OUTPUT ACCEPT iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
Amb això evitaràs que el teu servidor faci consultes a fora, però necessites que el proxy consulti també: iptables -I OUTPUT -p tcp -m tcp -m owner --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN --uid-owner proxy --gid-owner proxy -j ACCEPT El Thursday 17 May 2007 11:15, Ferran Pegueroles va escriure: > Si vols rebre alguna resposta del servidor tambe hauries de obrir la > sortida > > Normalment > > iptables -P OUTPUT ACCEPT > > no ha de ser un forat de seguretat, sino des del teu servidor no podras > accedir a cap lloc. > > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > En/na Ramon Cuñé ha escrit: > >> Tinc un servidor amb un Debian Sarge i proxy squid funcionant > >> perfectament. Ara volia afegir regles iptables al servidor, perque > >> sols és pogues accedir a aquest servei que dono pel port 8080. He fet > >> el següent: > >> > >> he creat un fitxer a /etc/network/if.up.d/cfg_iptables amb el següent > >> contingut: > >> > >> #Flush de les regles > >> iptables -F > >> iptables -X > >> iptables -Z > >> iptables -t nat -F > >> > >> # Política per defecte > >> iptables -P INPUT DROP > >> iptables -P OUTPUT DROP > >> iptables -P FORWARD DROP > >> > >> #Obro el port del squid > >> iptables -A INPUT -p tcp --dport 8080 -j ACCEPT > >> > >> > >> I quan llanço aquest script ja no puc accedir al proxy, que tinc > >> malament? Vaig ben encarat? > > > > ni al proxy ni a res, et falta com a mínim: > > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > > > potser també t'anirà bé tenir: > > - -A INPUT -i lo -j ACCEPT > > > > i si afegeixes aquesta linia veuràs els accessos rebutjats > > al /var/log/messages: > > > > - -A INPUT -j LOG > > -----BEGIN PGP SIGNATURE----- > > Version: GnuPG v1.4.6 (GNU/Linux) > > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > > > iD8DBQFGTBO9VfvsWQAffzIRAs8NAJ43OivLz+fAcGF77ntSjdvHKmzuXgCeIjbj > > g5LM3PjNe/V+yDd2LlWawis= > > =vun8 > > -----END PGP SIGNATURE----- > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] > > -- > Salutacions / Regards > -------------------------------------------------------- > Ferran Pegueroles Forcadell > mailto:[EMAIL PROTECTED] > http://www.pegueroles.cat > Tels (+34)937252106 - (+34)667658535 -- :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: Jaume Sabater :: administrador de sistemes :: [EMAIL PROTECTED] argus.net TECNOLOGIA CREATIVA "creant en la web des de 1995" www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | [EMAIL PROTECTED] Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
