Re: firewall

Thu, 03 Jun 2004 12:32:31 -0500 

> Witam chciałbym zrobić coś takiego, żeby userowi o ip 192.168.1.11
Cześć

> $IPT -A INPUT -i ! $ETHOUT -s $LAN -j ACCEPT
upierasz się przy odblokowaniu wszystkich portów dla lanu?

> $IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> $IPT -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> $IPT -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
Na OUTPUT masz policy ACCEPT wiec powyższe jest bez sensu...

> $IPT -t nat -A POSTROUTING -s $LAN -d 0.0.0.0/0  -j SNAT --to $ SWIAT
co upraszczamy do:
$IPT -t nat -A POSTROUTING -s $LAN -j SNAT --to $SWIAT

> #wpuszczamy ping
> $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

> $IPT -A OUTPUT -o $ETHLAN -p icmp --icmp-type echo-request -j ACCEPT
>
> $IPT -A OUTPUT -o $ETHLAN -d 0.0.0.0/0 -j ACCEPT
>
> $IPT -A OUTPUT -o $ETHOUT -p icmp --icmp-type echo-request -j ACCEPT
> $IPT -A OUTPUT -o $ETHOUT -p tcp -j ACCEPT -s $ SWIAT  -m state --state NEW
Znow bezsensowne regolki dla OUTPUTa...

> #samba
>
> $IPT -A INPUT -p tcp -m tcp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT
>
> $IPT -A INPUT -p udp -m udp --dport 137:139 -s 192.168.1.0/24 -j ACCEPT
nie polecam otwierac samby na swiat, jesli tylko dla lokalu i tak masz tam
policy ACCEPT

> ##Zabezpieczenie przez powodzią SYN (Syn-flood):
>
> $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
dupa, wczesniej otworzyles FORWARD dla ESTABLISHED,RELATED masz juz
sflodowaą sieć.

> ##Skaner portów Furtive:
>
> $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
> 1/s
> -j ACCEPT
jw.

> ##Ping of death:
>
> $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
> ACCEPT
jw.

> /sbin/iptables -A INPUT -s 192.168.1.11 -j ACCEPT
>
> /sbin/iptables -A INPUT -s 192.168.1.11 -p tcp -m multiport --dport
> 25,53,110 -m state --state NEW -j ACCEPT
>
eeeee....
przemysl calosc jeszcze raz, polecam `man iptables`


> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
?????

> I nie wiem gdzie zrobiłem blad. Za wszelką pomoc z góry dziękuje.
sporo tego...
sprobuj poszukac informacji w man, www.netfilter.org i przez googla.

pozdrawiam
y.

Odpowiedź listem elektroniczym