[rlug] Re: iptables nu merge?

[is]

>am urmatorul firewall:
>
>iptables -P INPUT DROP
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>#ssh access
>iptables -A INPUT -p TCP -i eth1 -s 192.168.0.2 -d 192.168.0.1 --dport
>22 -j ACCEPT
>
>si se pot conecta si altii de la alte ip-uri
>unde gresesc?
>
>
>
>
>--- 
>Detalii despre listele noastre de mail: http://www.lug.ro/
>
>
>
>  
>
Ai aici un script de firewall l-am simplificat si comentat pentru ca sa 
sti ce face fiecare linie, nu prea am inteles la ce te referi tu, dar 
oricum aici ai totul generalizat.... vezi ca trebuie sa fi atent la 
device-urile de retea.. la mine eth0 este inspre internet iar eth1 
inspre reteaua locala.

#! /bin/sh
IPT=/usr/sbin/iptables

firewall_stop()
    {
        $IPT -F
        $IPT -X
        $IPT -Z
        $IPT --policy INPUT ACCEPT
        $IPT -t nat -F
        $IPT --delete-chain
        $IPT -t nat --delete-chain
echo "All tables, rules are Destroied"
    }
firewall_start()
    {
        # ininte de tot bagam sfantul mega reset
        $IPT -F
        $IPT -X
        $IPT -Z
        $IPT --policy INPUT ACCEPT
        $IPT -t nat -F
        $IPT --delete-chain
        $IPT -t nat --delete-chain
        
        #tot ce vine, este drop, adica nu e pcu'
        $IPT --policy INPUT DROP
        $IPT --policy OUTPUT ACCEPT
        $IPT --policy FORWARD ACCEPT
        
                        
        #dam voie lui localhost sa faca ce vrea..
        $IPT -A INPUT -i lo -j ACCEPT
        $IPT -A OUTPUT -o lo -j ACCEPT
        
        #mai lasam shi pe placa interna adica eth1 liber (Atentie!! la mine nu e cazul 
sa ma apar de ce e in spatele eth1)
        $IPT -A INPUT -i eth1 -j ACCEPT
        $IPT -A OUTPUT -o eth1 -j ACCEPT
        
        #acceptam, raspunsuri la conexiuni la ce este cerut din inside (mai mult sau 
mai putin)
        $IPT -A INPUT -m state --state ESTABLISHED -j ACCEPT
        
        #lista cu ce acceptam din exterior, !!PORTUL!! il inlocuiesti tu cu vrei, daca 
vri mai multe porturi,
        #pui de mai multe ori linia bine inteles cu portul dorit in loc de !!PORTUL!! 
        
        $IPT -A INPUT -i eth0 -p tcp --dport !!PORTUL!! -j ACCEPT
        
        
        #aste e ce acceptam numai de la o anumita adresa ;)
        #XXX.XXX.XXX.XXX reprezinta adresa ip pentru care este deschis portul 22 
(portul il poti schimba)
        $IPT -A INPUT -i eth0 -s XXX.XXX.XXX.XXX -p tcp --dport 22 -j ACCEPT
        
        
        
        
    echo "Firewal is up&burning"
        
        # daca vrei sa oferi acces la net din spatele firewalului fara proxy 
        #(cunoscut si sub numele de NAT sau MASQUERADE..)
        $IPT -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
    
    }

case "$1" in
    'start')
        firewall_start
    ;;
    'stop')
        firewall_stop
    ;;
    'status')
        firewall_status;;
        *)
        echo "usage $0 start|stop|status"
        esac
        
IS
__________________________________________
http://www.itportal.ro



--- 
Detalii despre listele noastre de mail: http://www.lug.ro/