On Mon, May 29, 2006 at 05:25:11PM +0700, Setia Budi wrote: > Bagaimana cara menset iptables agar saya hanya mengijinkan ping, akses > www (port 80), dan trace route dari eth1? > > berikut ini adalah setingan milik saya: > > iptables -A INPUT -i eth1 -p icmp -j ACCEPT > iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -i eth1 -j DROP > > Tetapi saya menemui masalah yaitu saya tidak bisa malakukan trace route. > Ada solusi?
Sebelum dipasang rules di atas apakah traceroutenya bisa? Dari mana ke
mana? traceroutenya pake udp, icmp atau tcp?
Coba utk debugging rules pake LOG, jgn langsung di-DROP. Buat chain
baru dulu:
iptables -N logdrop
iptables -A logdrop --log-prefix "Dibuang: " -j LOG
iptables -A logdrop -j DROP
lalu yg mau didrop diarahkan ke target logdrop instead of DROP:
...
iptables -A INPUT -i eth1 -j logdrop
lalu sambil traceroute lagi sambil monitor syslog anda cari yg ada
tulisan "Dibuang", cari tau paket apa saja yg di-DROP. Coba yg tcp
port 80 itu hapus dulu biar ga bikin ribet.
BTW, rules anda di atas membatasi akses MASUK KE eth1, bukan KELUAR
DARI eth1. Hint: chainnya INput.
Ronny
signature.asc
Description: Digital signature
