> > ###INPUT###
> > # logowanie pingow i ich =
ograniczenie,jednak to cos nie robi...
> > bo gdy pinguje z innego serwera pingi =
ograniczne
> > przez burst
> > /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -m
> > limit --limit 5/minutes -j LOG --log-level =
7 --log-prefix "Pingi: "
> > /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -m
> > limit --limit 3/minute --limit-burst 5 -j =
ACCEPT
>
> Jakoś nigdy nie przyglądałem się temu =
bliżej więc nie wiem na jakiej
> zasadzie dokładnie to działa. Teraz w =
środku imprezy i po 2 piwach napewno
> nie będę w stanie ci pomoc :) Jeśli =
o
> nich przeczytam :)
o ile nie masz wczesniej jakiejs regoly wpuszczajacej =
pingi to to MUSI
dzialac (pingi z zewnatrz zastana zlogowane, z lanu =
nie). Wydaj z konsoli:
# iptables -L
zobaczysz kolejnosc regol, wowczas mozesz =
przeanalizowac co i jak.
> > # hmm nie wiem ale tak musi byc ;)
> > /sbin/iptables -A INPUT -p ALL -d =
xxx.xx.x.xxx -m state --state
> > RELATED,ESTABLISHED -j ACCEPT
>
> A no musi :) Dzięki temu połączenia =
które sa już nawiązane lub
spokrewnione
> są przepuszczane przez ścianę =
ogniową
Jedna uwaga: zapis -p ALL jest zbedny, mozna go =
pominac (wszedzie), chyba
ze z jakichs wzgledow jest to dla Ciebie =
> > znalazlem rowniez druga wersje takiej =
regulki i nie wiem ktora jest
lepsza
> >
> > /sbin/iptables -A INPUT -p ALL -i ppp0 -m =
state --state
> > RELATED,ESTABLISHED -j ACCEPT
>
> Jeśli masz stale IP to nie ma to znaczenia - =
robią w sumie to samo. Jedna
> pasuje do pakietów opatrzonych twoim =
zewnętrznym adresem IP a druga pasuje
> do pakietów które wchodzą przez interfejs =
ppp0.
Dokladnie... mozna tez stosowac oznaczenia =
ppp+ co oznacza wszystkie
interfejsy ppp, lub eth+ analogiczni dla =
> > # ponownie czarna magia ;) ale rowniez =
raczej byc musi
> > /sbin/iptables -A FORWARD -s =
192.168.1.0/255.255.255.0 -m state --state
> > NEW -j ACCEPT
> > /sbin/iptables -A FORWARD -p ALL -m state =
--state ESTABLISHED,RELATED -j
> > ACCEPT
>
> Raczej tak :) podobnie jak powyżej...
Rowniez kwestia gustu, ja stosuje /24 zamiast =
/255.255.255.0 - krotszy
zapis.
>/sbin/iptables -A INPUT -p ALL -i lo -s 127.0.0.1 =
-j ACCEPT
>/sbin/iptables -A INPUT -p ALL -i lo -s ip_lan -j =
ACCEPT
>/sbin/iptables -A INPUT -p ALL -i lo -s =
a nie lepiej tak:
/sbin/iptables -A INPUT -i lo -j ACCEPT
;-)
>Nie wiem po co Ci to jest...
>Przez łańcuch FORWARD przechodzą tylko te =
pakiety które wchodzą jednym
>interfejsem a wychodzą drugim.
>Wiec pakiety przekazywane miedzy ludźmi w sieci =
192.168.1.0 nigdy nie
>dochodzą do łańcucha FORWARD.
Chyba ze sie ma wiecej podsieci ;-)
Pozdroffka
Machoni.