[LUGOS] pozarni zid z iptables
Nejc Skoberne
nejc.skoberne at guest.arnes.si
Tue Mar 18 12:46:42 CET 2003
Zdravo.
> ustvarjam pozarni zid na nasi firmi
> in bi prosil za kaksne primere
> configuracijskih datotek z iptables
> kaj pustiti odprto kaj ne ?
Jaz sem napisal taksen svoj rc.firewall:
#!/bin/bash
#--------------------------------------------------------------------------
# CONFIGURATION PARAMETERS / NASTAVITVENI PARAMETRI
#--------------------------------------------------------------------------
eth="eth0" # Lokalna mrezna kartica (eth0, eth1, ...)
ppp="ppp0" # Internetna naprava (ppp0, ippp0, ...)
ipsec="ipsec0" # IPSec naprava (navadno ipsec0)
iptables="/usr/sbin/iptables" # Pot do programa iptables
localnet="192.168.X.0" # Lokalno omrezje (NUJNO SPREMENITI!)
#--------------------------------------------------------------------------
# FIREWALL RULES / POZARNI ZID
#--------------------------------------------------------------------------
# Delete any existing rules / Pocisti vsa trenutna pravila
$iptables -F
$iptables -t nat -F
# NAT Masquerading / NAT Maskerada
$iptables -t nat -A POSTROUTING -o $ppp -j MASQUERADE
# Status
$iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Services / Servisi
#$iptables -A INPUT -p tcp --sport 25 -j ACCEPT # SMTP
#$iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
#$iptables -A INPUT -p tcp --dport 110 -j ACCEPT # POP3
#$iptables -A INPUT -p tcp --dport 21 -j ACCEPT # FTP
#$iptables -A INPUT -p tcp --sport 21 -j ACCEPT # FTP
#$iptables -A INPUT -p tcp --dport 20 -j ACCEPT # FTP
#$iptables -A INPUT -p tcp --sport 20 -j ACCEPT # FTP
#$iptables -A INPUT -p udp --sport 500 -j ACCEPT # IPSEC
#$iptables -A INPUT -p udp --dport 53 -j ACCEPT # DNS
#$iptables -A INPUT -p tcp --sport 4559 -j ACCEPT # FAX
#$iptables -A INPUT -p udp -i $eth --dport 137 -j ACCEPT # SAMBA
#$iptables -A INPUT -p udp -i $eth --dport 138 -j ACCEPT # SAMBA
#$iptables -A INPUT -p tcp -i $eth --dport 139 -j ACCEPT # SAMBA
#$iptables -A INPUT -p udp -i $ipsec --dport 137 -j ACCEPT # SAMBA
#$iptables -A INPUT -p udp -i $ipsec --dport 138 -j ACCEPT # SAMBA
#$iptables -A INPUT -p tcp -i $ipsec --dport 139 -j ACCEPT # SAMBA
#$iptables -A INPUT -p udp -i $eth --dport 67 -j ACCEPT # DHCP
#$iptables -A INPUT -p udp -i $eth --dport 68 -j ACCEPT # DHCP
#$iptables -A INPUT -p tcp --dport 80 -j ACCEPT # WWW
#$iptables -A INPUT -p tcp --sport 80 -j ACCEPT # WWW
#$iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
#$iptables -A INPUT -p tcp --sport 22 -j ACCEPT # SSH
#$iptables -A INPUT -p udp --sport 53 -j ACCEPT # DNS
#$iptables -A INPUT -p udp --sport time -j ACCEPT # TIME
# Protocols / Protokoli
#$iptables -A INPUT -p ah -j ACCEPT # IPSEC
#$iptables -A INPUT -p esp -j ACCEPT # IPSEC
# Allow all localhost connections / Dovoli vse lokalne povezave
$iptables -A INPUT -p all -s 127.0.0.1 -j ACCEPT
# Drop all other connections / Zavrni vse ostale povezave
$iptables -A INPUT -p tcp -s ! $localnet/24 -j DROP
$iptables -A INPUT -p udp -s ! $localnet/24 -j DROP
--
Nejc Skoberne
Grajska ulica 5
SI-5220 Tolmin
E-mail: nejc.skoberne at guest.arnes.si
More information about the lugos-list
mailing list