Witam
> #!/bin/sh
> #przekazywanie pakietow
[...]
> #wylonczenie pingow z zewnatrz i ich logowanie =
kto probwal go puscic
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request
> -d xxx.xx.x.xxx -j DROP
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request
> -m limit --limit 5/min -j LOG --log-level =
6
Powinno być odwrotnie. Poza tym nie wiem czy jest =
sens wyłączania pingów.
Jest to dobre narzędzie do testowania =
połączenia. Powinieneś jedynie
wprowadzić ograniczenie ilości pingow jakie =
przychodzą na twój serwer.
BTW: nie jest to tylko moje zdanie parafrazuje to co =
wyczytalem w Bibli
TCP/IP Stevensa - wg. mnie guru :)
> #akceptacja dnsow nie jestem pewien czy jest to =
potrzebne ?
> /sbin/iptables -A INPUT -s 194.204.159.1 -j =
ACCEPT
> /sbin/iptables -A INPUT -s 194.204.152.34 -j =
ACCEPT
DNS jako taki nie łączy się z tobą. To ty =
się z nim łączysz a następnie on
przysyła ci informacje...
Pamiętaj że komunikacja z DNS odbywa się za =
pośrednictwem zarówno tcp jak i
udp...
zamiast tych regułek wystarczą odpowiednie =
regułki dopuszczające połączenia
NEW,ESTABLISHED i RELATED
z tego co widze masz je dalej
> #dopuszczam prace na interfejsie lokalnym to =
> potrzebne ?
> /sbin/iptables -A INPUT -i lo -j ACCEPT
A co z programami które uruchamiane na serwerze =
komunikują sie przez lo?
powinno to zoastać choc napisalbym to raczej =
tak:
/sbin/iptables -A INPUT -p ALL -i lo -s 127.0.0.1 -j =
ACCEPT
/sbin/iptables -A INPUT -p ALL -i lo -s ip_lan -j =
ACCEPT
/sbin/iptables -A INPUT -p ALL -i lo -s ip_internet =
-j ACCEPT
Cytuje za: Oskar Andreasson Iptables Tutorial =
1.1.16
[...]
> /sbin/iptables -t filter -P FORWARD DROP
>
> # tego w ogulnie nie rozumie i zapewne tu jest =
blad
> /sbin/iptables -t filter -A FORWARD -s =
192.168.1.0/255.255.255.0
> -m state --state NEW -j ACCEPT
> /sbin/iptables -t filter -A FORWARD -d =
192.168.1.0/255.255.255.0
> -m state --state NEW -j ACCEPT
Nie wiem po co Ci to jest...
Przez łańcuch FORWARD przechodzą tylko te =
pakiety które wchodzą jednym
interfejsem a wychodzą drugim.
Wiec pakiety przekazywane miedzy ludźmi w sieci =
192.168.1.0 nigdy nie
dochodzą do łańcucha FORWARD.
> /sbin/iptables -A FORWARD -p tcp -j ACCEPT -m =
state --state
> RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p icmp -j ACCEPT -m =
state --state
> RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p udp -j ACCEPT -m =
state --state ESTABILISHED
A nie lepiej tak:
/sbin/iptables -A FORWARD -p ALL -m state --state =
ESTABLISHED,RELATED -j
ACCEPT
Do łańcucha INPUT możesz jeszcze dodać:
/sbin/iptables -A INPUT -p ALL -i interfejs_internet =
-m state --state
RELATED,ESTABLISHED -j ACCEPT
Nie jestem ekspertem ale problemy jakie masz nie =
koniecznie muszą być
spowodowane źle działającym firewallem. Może =
to być wiele innych rzeczy. Ja
jedynie przedstawiłem poprawki jakie możesz =
wnieść do ściany ogniowej. Choć
i tak pewnie wiele można by dodać lub zmienić =
:)
Polecam: ht= tp://iptables-tutorial.frozentux.net/iptables-tutorial.html
# __________________________________________
# asmodeus AT interia.pl
# http://slackware.prv.pl
# "When one learns a distribution
# such as Red Hat, one learns Red Hat.
# When one learns Slackware, one learns =
Linux."
#
----------------------------------------------------------------=
------
KLIKAJ!!! Nie pytaj dlaczego... >>> http://link.interia.pl/f16e2