Szia,
azt kell hinnem nem erted hogyan mukodik.
nem tudom mit olvastal, de a tutorial sokat segithet,
ha ezt olvastad, olvasd el meg egyszer:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
gondolkozz lancokban! ugy egyszerubb.
alapvetoen a kov fo lancok leteznek:PREROUTING,INPUT,FORWARD,
OUTPUT,POSTROUTING
Altalaban a kov lancok erintettek egy csomag utjan:
Ha ez a box a cel, akkor a PREROUTING es az INPUT az
erintett lanc, ha a PREROUTING-ban pl nem kuldod mashova a csomagot.
Ha nem a ez a box a cel, akkor a PREROUTING,FORWARD,POSTROUTING
lehet az erintett lanc.
Ha a linuxrol megy ki a csomag akkor az OUTPUT es a POSTROUTING
lancon mehet keresztul a csomag.
A fenti lancokban a lanctol FUGGOEN altalaban a kovetkezo parameterek
adhatod meg pl: protokol(-p), berekezo interface(-i), forrascim(-s),
celcim(-d),kimeno interface(-o), celport(--dport) meg meg sok egyebet...
INPUTnal pl nincs -o es OUTPUTnal pl nincs -i, es a tobbit. lasd a
fenti doksit.
Az a jo az egeszben hogy te is hozhatsz letre lancokat.
iptables -N lanc_neve
hogy ez mire jo? pl: (NAGYON leegyszerusitve es elnagyolva!!)
iptables -N bad-local
iptables -N good-bad
iptables -N bad-good
iptables -A INPUT -i $BAD_IFACE -d $BAD_IP -j bad-local
iptables -A INPUT -j DROP
iptables -A bad-local -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A bad-local -p tcp -s $kulso_szerver_IP --dport 80 -j ACCEPT
iptables -A bad-local -j DROP
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j ACCEPT
mit is jelent ez?
letrehozzuk az uj lancainkat
INPUT lanc:
ha a linux a cel es biztos kivulrol jon elugrunk a bad-local lancra
egyebkent eldobjuk a csomagot
bad-local lanc:
ha mar elo kapcsolat, akkor mehet (state sor)
ha kulso_szetverrol jon egy UJ tcp csomag es a linux 80-as \
portjara jon beengedjuk
egyebkent eldobjuk a csomagot
OUTPUT lanc:
itt engedjuk a valasz csomagokat (state sor)
es ha a linux kuld ki, minden mehet.
(elvileg itt a state sor nem is kellene, csak a szemleltetes kedveert)
vagy egy pl FORWARDra:
iptables -A FORWARD -i $BAD_IFACE -o $GOOD_IFACE -j bad-good
iptables -A FORWARD -i $GOOD_IFACE -o $BAD_IFACE -j good-bad
iptables -A FORWARD -j LOG --log-prefix "FORWARD DROP "
iptables -A FORWARD -j DROP
iptables -A good-bad -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A good-bad -p tcp -d $kulso_szerver_IP --dport 80 -j ACCEPT
iptables -A good-bad -j LOG --log-prefix "good-bad DROP "
iptables -A good-bad -j DROP
iptables -A bad-good -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A bad-good -j LOG --log-prefix "bad-good DROP "
iptables -A bad-good -j DROP
iptables -t nat -A POSTROUTING -s $GOOD_tartomany -o $BAD_IFACE \
-j MASQUERADE
itt a good-bad state sora a mar elo kapcsolatoke
a bad-good state sora a $kulso_szerver_IP gep
valasz csomagjaie
a POSTROUTING sor a natolashoz kell.
es igy tovabb.
-j LOG sorokat beszurva a DROP-ok ele mindig tudni fogod, hogy
hol akad el egy csomag.
reszletesen es pontosan a fenti doksiban talalsz anyagot.
remelem nem gepeltem el semmit...:)
zoli
_________________________________________________
linux lista - [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux
