Witam
[...]
> Jedna uwaga: zapis -p ALL jest zbedny, =
mozna go pominac (wszedzie), chyba
> ze z jakichs wzgledow jest to dla Ciebie =
Dokładnie. Zwłaszcza że zmniejszy to =
obciążenie. Jądro będzie sprawdzać
tylko jedną regułkę a nie kilka.
Dlatego czasami pewne regułki dotyczące =
specyficznego protokołu warto zebrać
w podłańcuchu i wywoływać go tylko wtedy gdy =
jest to potrzebne.
np.:
################################# allowed chain
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state =
ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP
################################# TCP packets
iptables -A tcp_p -p TCP -s 0/0 --dport 21 -j =
allowed
iptables -A tcp_p -p TCP -s 0/0 --dport 22 -j =
allowed
Teraz wystarczy na początku łańcucha INPUT = wywołać:
iptables -A INPUT -p TCP -i $INET_IFACE -j = tcp_p
Szczegóły takiego podejścia omówione są w =
kilka postów wcześniej.
[...]
> > > # ponownie czarna magia ;) ale rowniez =
raczej byc musi
> > > /sbin/iptables -A FORWARD -s =
192.168.1.0/255.255.255.0 -m
> state --state
> > > NEW -j ACCEPT
> > > /sbin/iptables -A FORWARD -p ALL -m =
state --state
> ESTABLISHED,RELATED -j
> > > ACCEPT
> >
> > Raczej tak :) podobnie jak =
powyżej...
>
> Rowniez kwestia gustu, ja stosuje /24 zamiast =
/255.255.255.0 - krotszy
> zapis.
I takie podejście powinno się stosować regułki = zyskują na czytelności.
> >/sbin/iptables -A INPUT -p ALL -i lo -s =
127.0.0.1 -j ACCEPT
> >/sbin/iptables -A INPUT -p ALL -i lo -s =
> >/sbin/iptables -A INPUT -p ALL -i lo -s =
>
> a nie lepiej tak:
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> ;-)
W sumie tak :) Jednak nie powinno się odpisywać na = grupę w środku imprezy :)
> >Nie wiem po co Ci to jest...
> >Przez łańcuch FORWARD przechodzą tylko =
te pakiety które wchodzą jednym
> >interfejsem a wychodzą drugim.
> >Wiec pakiety przekazywane miedzy ludźmi w =
sieci 192.168.1.0 nigdy nie
> >dochodzą do łańcucha FORWARD.
>
> Chyba ze sie ma wiecej podsieci ;-)
Tak oczywiście ale w tym konkretnym przypadku =
pytający ma tylko jedną.
Przynajmniej wynika to z treści ściany =
ogniowej.
# __________________________________________
# asmodeus AT interia.pl
# http://slackware.prv.pl
# "When one learns a distribution
# such as Red Hat, one learns Red Hat.
# When one learns Slackware, one learns =
Linux."
#
----------------------------------------------------------------=
------
KLIKAJ!!! Nie pytaj dlaczego... >>> http://link.interia.pl/f16e2