Użytkownik Joks napisał:
> Po przeczytaniu poleconego linku
> ht=
tp://iptables-tutorial.frozentux.net/iptables-tutorial.html
> wprowadzilem pare zmian,prosiblym o sprawdzenie =
> gdyz mam
> jeszcze male watpliwosci.
>
> #!/bin/sh
>
> # Czyszczenie tablic
> /sbin/iptables -F -t nat
> /sbin/iptables -X -t nat
> /sbin/iptables -F -t filter
> /sbin/iptables -X -t filter
>
> #Przekazywanie pakietow
> echo "1" > =
/proc/sys/net/ipv4/ip_forward
> echo "1" > =
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> echo "1" > =
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
> echo "1" > =
/proc/sys/net/ipv4/conf/all/rp_filter
> echo "1" > =
/proc/sys/net/ipv4/ip_dynaddr
> echo "1" > =
/proc/sys/net/ipv4/conf/all/proxy_arp
> echo "0" > =
/proc/sys/net/ipv4/conf/all/accept_redirects
> echo "0" > =
/proc/sys/net/ipv4/conf/all/accept_source_route
>
> ###INPUT###
> # logowanie pingow i ich ograniczenie,jednak to =
> bo gdy pinguje z innego serwera pingi dochodza =
normalnie nie sa ograniczne
> przez burst
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -m
> limit --limit 5/minutes -j LOG --log-level 7 =
--log-prefix "Pingi: "
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -m
> limit --limit 3/minute --limit-burst 5 -j =
ACCEPT
>
> # praca na interfejsie lokalnym
> /sbin/iptables -A INPUT -p ALL -i lo -s =
127.0.0.1 -j ACCEPT
> /sbin/iptables -A INPUT -p ALL -i lo -s =
192.168.1.1 -j ACCEPT
> /sbin/iptables -A INPUT -p ALL -i lo -s =
xxx.xx.x.xxx -j ACCEPT
>
> # hmm nie wiem ale tak musi byc ;)
> /sbin/iptables -A INPUT -p ALL -d xxx.xx.x.xxx =
-m state --state
> RELATED,ESTABLISHED -j ACCEPT
>
> znalazlem rowniez druga wersje takiej regulki i =
nie wiem ktora jest lepsza
>
> /sbin/iptables -A INPUT -p ALL -i ppp0 -m state =
--state
> RELATED,ESTABLISHED -j ACCEPT
>
> ###OUTPUT###
> # logi przesiadkowe
> /sbin/iptables -A OUTPUT -p tcp --dport 22 -m =
limit 2/minute -j
> LOG --log-level 7 --log-prefix "SSH: =
"
>
> ###FORWARD###
> /sbin/iptables -t filter -P FORWARD DROP
>
> # to chyba jest tez potrzebne cos jak lo =
?
> /sbin/iptables -A FORWARD -i eth0 -j =
ACCEPT
>
> # ponownie czarna magia ;) ale rowniez raczej =
byc musi
> /sbin/iptables -A FORWARD -s =
192.168.1.0/255.255.255.0 -m state --state
> NEW -j ACCEPT
> /sbin/iptables -A FORWARD -p ALL -m state =
--state ESTABLISHED,RELATED -j
> ACCEPT
>
> # udostepnianie netu
> /sbin/iptables -t nat -A POSTROUTING -s =
192.168.1.2 -d ! 192.168.1.0/24 -j
> SNAT --to-source xxx.xx.x.xxx
>
> # moduly
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe ip_nat_irc
> /sbin/modprobe ip_tables
> /sbin/modprobe ipt_LOG
> /sbin/modprobe ip_limit
> /sbin/modprobe iptable_filter
> /sbin/modprobe iptable_nat
>
>
> =
--------------r-e-k-l-a-m-a-----------------
>
> Szukasz banku bez prowizji ?
> mBank - zaloz konto
> http://epieniadze.onet.pl/mbank<=
/A>
>
>
>
uninstal