[LUGOS] iptables

[Rok Papez]

Živjo!

Dne Saturday 24 June 2006 23:01 je Matevz Jekovec napisal(a):
> Hoj.
>
> Imam dve vprašanji glede mojega požarnega zidu na strežniku:
> 1) Strežnik mi obenem streže tudi DHCP. Če poženem
> $ iptables -P INPUT ACCEPT
> , odjemalci dobijo IP brez problema. Če pa dam $ iptables -p INPUT DROP
> in v INPUT dodam port 67 in 68 UDP in TCP:
> ACCEPT     tcp  --  anywhere             anywhere            tcp
> dpts:bootps:bootpc
> ACCEPT     udp  --  anywhere             anywhere            udp
> dpts:bootps:bootpc
> , odjemalci ne morejo dobiti IP naslova več. Sem še kaj falil?!

Dodati moraš pravila, ki dopustijo uporabo DHCP. Enostavnejši
požarni zid je na primer (vsebina datoteke /etc/sysconfig/iptables):

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -m state --state NEW -m limit --limit 20/sec --limit-burst 40 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
COMMIT

Nastavitve so naslednje:
- dopusti ves promet z vmesnika 'lo' (loopback)
- uporabi mehanizem spremljanja povezav in dovoli vse povezave, ki
so v sorodu s kakšno izmed izhodnih povezav
- dovoli le 20 "tujih" paketov ICMP na sekundo
- dovoli SSH

Več o iptables: http://www.netfilter.org

> 2) Ob vsakem DROPu paketka mi po konzoli izpisuje svinjarijo. Kakšna
> možnost, da imam pod LOG še vedno nekatera pravila (hočem, da se mi
> zapišejo v /var/log nekam), vendar ne na zaslon.

Poglej si nastavitve v /etc/syslog.conf
Bolj natančno je stvar opisana v "man syslog.conf"

Verjetno pa je zvito ustrezno nastaviti --log-level:
http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html

--
lep pozdrav,
Rok Papež.