> Van egy szerver fedora core5-tel, de nem tudm hogyan kell beállítani az > iptables szabályokat úgy, hogy a belhálóra (eth1-en , ip 192.168.1.52, > dhcp-vel kapott) ne blokkoljon szolgáltatást, de kifelé (eth0 -n ,ip > 195.199.93.xxx) viszont a httpd 80 as, 443 -as és az ssh 22 -es portján > kívül ne engedjen be semmit, és legyenek rejtettek a portok. Véleménytek > szerint ezt hogyan lehet kivitelezni?
Kb igy nezne ki egy script arra amit kertel. Pl. pontosan a http://iptables-tutorial.frozentux.net/iptables-tutorial.html -ban van leirva minden. Zoli #!/bin/sh echo Firewall start ... PATH=/sbin:/bin:/usr/sbin:/usr/bin test -x /sbin/iptables || exit 0 IPTABLES=/sbin/iptables echo Setting kernel variables ... # ha kell # echo 1 > /proc/sys/net/ipv4/ip_forward # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts BAD_IFACE='eth0' BAD_IP=195.199.93.xxx/255.255.255.yyy GOOD_IFACE='eth1' GOOD_ADDR=192.168.1.0/24 GOOD_IP=192.168.1.52 echo Create policies ... $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP echo Flush and delete all rules ... for table in mangle nat filter; do iptables -t $table -F iptables -t $table -X iptables -t $table -Z done $IPTABLES -N stateful # stateful echo ... stateful ... $IPTABLES -A stateful -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -j stateful $IPTABLES -A INPUT -i $GOOD_IFACE -p {tcp/udp/icmp/...} --dport {portszam} -j ACCEPT $IPTABLES -A INPUT -i $BAD_IFACE -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i $BAD_IFACE -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i $BAD_IFACE -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -j LOG --log-prefix "INPUT drop: " --log-tcp-sequence --log-tcp-options --log-ip-options $IPTABLES -A INPUT -j DROP $IPTABLES -A FORWARD -j ACCEPT $IPTABLES -A OUTPUT -j ACCEPT _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
