overcontrol wrote:
> algu�m sabe de algum livro que pudesse me ajudar a
> transformar meu script (a� embaixo) num script para
> iptables ?
Em geral:
- input, forward, output -> INPUT, FORWARD, OUTPUT
- DENY -> DROP
- regras de masquerade: substituir por permiss�o de forward e adicionar
regra de mascaramento na tabela nat
> #!/bin/bash
> /sbin/ipchains -F
> /sbin/ipchains -F forward
> /sbin/ipchains -F input
> /sbin/ipchains -F output
iptables -F
# as outras s�o absolutamente desnecess�rias,
# porque voc� j� deu flush em tudo
# inclusive no ipchains
> /sbin/ipchains -P input DENY
iptables -P INPUT DROP
> /sbin/ipchains -P forward DENY
iptables -P FORWARD DROP
> /sbin/ipchains -P output DENY
iptables -P OUTPUT DROP
> /sbin/ipchains -M -S 36000 0 0
# N�o h� equivalente
> /sbin/ipchains -A input -i lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
> /sbin/ipchains -A output -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
> /sbin/ipchains -A forward -l -j MASQ -s 192.168.0.0/24 -
> d 0.0.0.0/0
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -mstate --state
ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
> #
> /sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 80 -p TCP -
> j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
Nota: pode ser necess�rio abrir o OUTPUT --sport 80 para alguma coisa
voltar da porta 80, j� que voc� bloqueou todo o tr�fego saindo que n�o
seja destinado ao localhost.
--
Thiago Macieira - UFOT Registry number: 1001
[EMAIL PROTECTED] [EMAIL PROTECTED]
ICQ UIN: 1967141 PGP: 0x8F2978D5 and 0xEA9037A5 (PGP 2.x)
Registered Linux user #65028
13/392. You broke your little ships. -- Lily Sloane, Star Trek: First
Contact
Assinantes em 14/05/2001: 2272
Mensagens recebidas desde 07/01/1999: 113238
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
