[ SlackList ] [ WkikiSlack ] |
Witam.
Moj plik rc.firewall ma taki wpis:
#!/bin/sh
# Czyscimy wszystkie tablice
iptables -F
iptables -F -t nat
# Domyslnie nie przepuszczamy nic
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Interfejs lokalny ma specjalne prawa
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# Wpuszczamy wszystko z sieci lokalnej i wypuszczamy
# wszystko na nia. Nie nalezy dodawac tutaj analogicznej
# regulki dla FORWARD, to zalatwi za nas modul state
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
# Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
# na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
iptables -A INPUT -p tcp --dst 0/0 --dport 113 \
-j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp --dst 0/0 --dport 1080 \
-j REJECT --reject-with icmp-port-unreachable
# Akceptujemy pakiety ICMP Echo (ping) wchodzace i wychodzace
# Akceptacja odpowiedzi jest realizowana przez modul state RELATED
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych
# polaczen
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED
# Uslugi TCP, ktore wypuszczamy z naszej sieci:
# 80,8080 (WWW), 22 (SSH), 21 (FTP), 25 (SMTP), 119 (news), 53 (DNS)
# 2064 (distributed.net), 706 (SILC)
TCP_OUT_ALLOW=80,8080,22,995,21,25,53,23,119,2064,6667,706
# Uslugi UDP: 123 (NTP), 53 (DNS)
UDP_OUT_ALLOW=123,53
iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW \
-m multiport --destination-port $TCP_OUT_ALLOW
iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW \
-m multiport --destination-port $UDP_OUT_ALLOW
iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW \
-m multiport --destination-port $TCP_OUT_ALLOW
iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW \
-m multiport --destination-port $UDP_OUT_ALLOW
# Maskarada (NAT) dla wszystkich hostow z sieci lokalnej
iptables -t nat -A POSTROUTING -p all -s 192.168.1.0/24 -j MASQUERADE
# Logujemy pakiety ktore nie zostaly zaakceptowane przez
# zadna z powyzszych regulek. Zostana one wyblokowane dzieki
# polityce DROP we wszystkich tablicach
iptables -A INPUT -j LOG -m limit --limit 10/hour
iptables -A OUTPUT -j LOG -m limit --limit 10/hour
iptables -A FORWARD -j LOG -m limit --limit 10/hour
problem polega na tym ze jak sie zaladuje to nie mam dostepu do internetu z
komputera ktorym sie dolaczam do linuksa (samba + dhcp) i nie pobiera mi ip
z dhcp. Jakiego wpisu tu brakuje lub co jest zle??
pozdrawiam
Maciek
Received on Tue Feb 17 19:58:10 2004