> #!/bin/sh
> #przekazywanie pakietow
> echo "1" > =
/proc/sys/net/ipv4/ip_forward
> echo "1" > =
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> echo "1" > =
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
> echo "1" > =
/proc/sys/net/ipv4/conf/all/rp_filter
> echo "0" > =
/proc/sys/net/ipv4/conf/all/accept_redirects
> echo "0" > =
/proc/sys/net/ipv4/conf/all/accept_source_route
Wow... sporo tego ;-)
> #czyszczenie tablic
> /sbin/iptables -F -t nat
> /sbin/iptables -X -t nat
> /sbin/iptables -F -t filter
> /sbin/iptables -X -t filter
>
> #wylonczenie pingow z zewnatrz i ich logowanie =
kto probwal go puscic
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -d
xxx.xx.x.xxx -j DROP
> /sbin/iptables -A INPUT -i ppp0 -p icmp =
--icmp-type echo-request -m
limit --limit 5/min -j LOG --log-level 6
blad, pierwsza regola wywali wszystko i nic nie =
zostanie zalogowane (odwroc
je jesli juz)
> #akceptacja dnsow nie jestem pewien czy jest to =
potrzebne ?
> /sbin/iptables -A INPUT -s 194.204.159.1 -j =
ACCEPT
> /sbin/iptables -A INPUT -s 194.204.152.34 -j =
ACCEPT
>
> #dopuszczam prace na interfejsie lokalnym to =
?
> /sbin/iptables -A INPUT -i lo -j ACCEPT
chyba ;-)
> # logowanie kto uzywa mojego serwera jako =
"maszyny-przesiadkowej" z kont
zewnetrznych
> /sbin/iptables -A OUTPUT -p tcp --dport 22 -m =
limit --limit 1/min -j LOG
ciekawe rozwiazanie ;-) Ja nie mam takiej potrzeby, = ale...
> /sbin/iptables -t filter -P FORWARD DROP
>
> # tego w ogulnie nie rozumie i zapewne tu jest =
blad
> /sbin/iptables -t filter -A FORWARD -s =
192.168.1.0/255.255.255.0 -m
state --state NEW -j ACCEPT
> /sbin/iptables -t filter -A FORWARD -d =
192.168.1.0/255.255.255.0 -m
state --state NEW -j ACCEPT
> /sbin/iptables -A FORWARD -p tcp -j ACCEPT -m =
state --state
RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p icmp -j ACCEPT -m =
state --state
RELATED,ESTABILISHED
> /sbin/iptables -A FORWARD -p udp -j ACCEPT -m =
state --state ESTABILISHED
Ta druga bym wywalil, pozatym zamiast 3 i 4 daj =
jedna -p ! udp chyba ze
tak wydaje Ci sie czytelniej (i wiesz co robisz), to =
tylko sugestie, ogolnie
regoly sa dobre (skladniowo).
A tak wogole dlaczego nie dasz
/sbin/iptables -A FORWARD -j ACCEPT -m state --state =
> #udostepnianie internetu
> /sbin/iptables -t nat -A POSTROUTING -s =
192.168.1.2 -j SNAT --to-source
xxx.xx.x.xxx
sprobuj tak
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2 -d =
! 192.168.1.0/24 -j
SNAT --to-source xxx.xx.x.xxx
>
> #zaladowanie modulow sledzenia oraz do ftp i =
> /sbin/modprobe -a ip_conntrack
> /sbin/modprobe -a ip_conntrack_ftp
> /sbin/modprobe -a ip_nat_ftp
> /sbin/modprobe -a ip_nat_irc
/sbin/modprobe -a ip_conntrack_irc = ??
Pozatym pytanie... zajmujesz sie forwardem, nic =
nie wpuszczasz na serwer
czy wpuszczasz wszystko ?? jaka jest polityka =
poszczegolnych lancuchow ?
Moja rada... przeczytaj howto o =
filtrowaniu pakietow, oraz o nacie.
Pozniej stworzyc regoly pozwalajace na wszystko (lub =
prawie) i po kolei
dokladac ograniczenia. Sam sie nauczysz i bedziesz =
wiedzial gdzie zaczyna Ci
szwankowac.
Pozdroffka
Machoni.