Tisztelt listatagok! Megfaragtam (?) életem első tűzfalát. Most az volna a kérésem, hogy akinek van kedve olvassa át a kódot. A végén lenne egy kérdésem, meg persze kíváncsi volnék minden szakmai tanácsra is. Próbáltam kommentezni hogy mi volt a szándékom egy adott paranccsal.
a kód: *********************** #!/bin/sh CSATOLO="eth0" IPTABLES="/sbin/iptables" #minden eddigi szabály kukába $IPTABLES --flush #ha semmire sem illeszkedik akkor kuka $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP #a loopback interafcen mindent lehet $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT # ============== BEMENET ============= echo echo "tiltott címek" #kintről nem jöhetnek belső hálózati címek $IPTABLES -A INPUT -i $CSATOLO -s 0.0.0.0/8 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 10.0.0.0/8 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 127.0.0.0/8 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 172.16.0.0/12 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 192.168.0.0/16 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 208.13.201.2 -j DROP $IPTABLES -A INPUT -i $CSATOLO -s 255.0.0.0/8 -j DROP echo "nem szabályos kapcsolat" #nem szabályos kapcsolatkezdeményezés $IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "letapogatási kísérlet?" $IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP echo "szabályos kapcsolat be" #korábban engedélyezett kapcsolatokból származó bejövő kapcsolatok #elfogadása $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #tcp $IPTABLES -A INPUT -p tcp --dport 0:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT #udp $IPTABLES -A INPUT -p udp --dport 0:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT #ami nem stimmel naplózni $IPTABLES -A INPUT -j LOG --log-prefix "tiltott protokoll be " echo "szabályos kapcsolat ki" # ============== KIMENET ============= #jóváhagyott kapcsolat kimehet $IPTABLES -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #ping kezdeményezés $IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT #tcp $IPTABLES -A OUTPUT -p udp --dport 0:65535 -m state --state NEW -j ACCEPT #udp $IPTABLES -A OUTPUT -p tcp --dport 0:65535 -m state --state NEW -j ACCEPT #ami nem stimmel naplózni $IPTABLES -A OUTPUT -j LOG --log-prefix "tiltott protokoll ki " echo "IP maszkolás" #IP maszkolás $IPTABLES -t nat -A POSTROUTING -o $CSATOLO -j MASQUERADE *********************** A kérdés pedig a következő: Mi okozza a logban az alábbi bejegyzést? Feb 9 12:01:46 server kernel: tiltott protokoll be IN=ppp0 OUT= MAC= SRC=IPcím DST=IPcím LEN=142 TOS=0x00 PREC=0x00 TTL=123 ID=50676 PROTO=UDP SPT=18168 DPT=39872 LEN=122 Persze tudom, hogy melyik sor szól be, csak azt nem, hogy mit akadályoz meg, mert minden működik amit próbáltam. Köszönettel: Zs. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
