Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Yury Suhanov                         2:5038/12.11   01 Sep 2004  00:20:46
 To : All
 Subject : настройка iptables
 -------------------------------------------------------------------------------- 
 
 
 Чегой-то захотелось настроить фаирвол. Диал-ап соединение с инетом.
 Почитал Руководство по iptables - кое что понял, но далеко не все.
 С одной странички был взят пример для диал-апа. Кое что понял, кое что изменил.
 Получилось вот что: (чую что полная фигня. что надо поправить/изменить?)
 === Cut ===
 #
 *filter
 #По умолчанию никого не пускать и ни кого не выпускать
 :INPUT DROP [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT DROP [0:0]
 #С lo можно входить всем
 -A INPUT -i lo -j ACCEPT
 # Если не с lo то нельзя открыть новое соединетие
 #(а это вообще не лишнее? Может его удалить?)
 -A INPUT -i ! lo -m state --state NEW -j DROP
 #Если что пришло с IP 127.0.0.1 но это не lo но не пускать.
 #(а это вообще может быть?)
 -A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP
 #Source quench можно (что это вообще?)
 -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
 # можно входить ответу от моего PING
 -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
 #можно входить IP header bad и Required options missing
 #(а зачем ?)
 -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
 #нельзя соединиться с моим Х11
 #(это полностью входит в нижнюю строку или нет?)
 -A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags SYN,RST,ACK SYN -j
 DROP
 #ЗАКРЫЛ ВСЕ ПОРТЫ выданные по nmap 127.0.0.1
 #(если у меня уже и так новое соединение запрещено со всех кроме lo, то это не
 лишнее?)
 #(И вообще в таком случае --dports или --dport надо писать?)
 -A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports
 ssh,smtp,http,sunrpc,https,ipp,x11 -j DROP
 #Две следующие для ДHС
 #(а одной типа -A INPUT -i ppp0 --sport 53 --dport 1024:65535 -j ACCEPT
 нельзя?)
 -A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
 -A INPUT -i ppp0 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
 #authentication tap ident с удаленного порта можно, а на мой порт нельзя
 #(а этот authentication tap ident вообще что делает? И чем на порт 113
 соединяются?)
 -A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags
 SYN,RST,ACK SYN -j ACCEPT
 -A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
 # Ко мне можно smtp pop3 ssh ftp finger whois Gopher www  но нельзя syn.
 #(А зачем все это если syn нельзя? Странно както...)
 -A INPUT -p tcp -m tcp -m multiport -i ppp0 --dport 1024:65535 --sports
 25,110,22,21,79,43,70,80,443 -j ACCEPT ! --syn
 #Для ФТП
 -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 20 -j ACCEPT
 #BOOTP serv (67) BOOTP client (68)
 #(зачем это?)
 -A INPUT -p udp -m udp -i ppp0 --dport 68 --sport 67 -j ACCEPT
 #Кто меня пингует тому нет ответа
 #(А REJECT лучше DROP? И icmp-port-unreachable я правильно выбрал?)
 -A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with
 icmp-port-unreachable
 #С lo можно выходить всем
 -A OUTPUT -o lo -j ACCEPT
 #Source quench можно выходить
 -A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
 #Можно мне пинговать
 -A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
 #можно входить IP header bad и Required options missing
 #(а зачем ?)
 -A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
 #Две следующие для ДHС
 -A OUTPUT -o ppp0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
 -A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
 #authentication tap ident
 -A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
 # От меня можно smtp pop3 ssh ftp finger whois Gopher www
 (Смогу ли я нормально пользоваться почтой, FTP, SSH, HTTP будет нормально
 работать?)
 -A OUTPUT -p tcp -m tcp -m multiport -o ppp0 --dports
 25,110,22,21,79,43,70,80,443 --sport 1024:65535 -j ACCEPT
 #Для ФТП
 (почему для порта 20 у меня все кроме syn разрешить надо?)
 -A OUTPUT -p tcp -m tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT ! --syn
 #BOOTP serv (67) BOOTP client (68)
 #(зачем это?)
 -A OUTPUT -p udp -m udp -o ppp0 --dport 67 --sport 68 -j ACCEPT
 COMMIT
 === Cut ===
 
 Помогите пожалуйста!
 Спасибо!
                                                           Yury Suhanov
 
 ---
  * Origin: Under Construction %) (2:5038/12.11)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 настройка iptables   Yury Suhanov   01 Sep 2004 00:20:46 
Архивное /ru.linux/32604135164b.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional