[LUGOS] iptables
Rok Papez
rok.papez at lugos.si
Mon Jun 26 17:54:07 CEST 2006
Živjo!
Dne Saturday 24 June 2006 23:01 je Matevz Jekovec napisal(a):
> Hoj.
>
> Imam dve vprašanji glede mojega požarnega zidu na strežniku:
> 1) Strežnik mi obenem streže tudi DHCP. Če poženem
> $ iptables -P INPUT ACCEPT
> , odjemalci dobijo IP brez problema. Če pa dam $ iptables -p INPUT DROP
> in v INPUT dodam port 67 in 68 UDP in TCP:
> ACCEPT tcp -- anywhere anywhere tcp
> dpts:bootps:bootpc
> ACCEPT udp -- anywhere anywhere udp
> dpts:bootps:bootpc
> , odjemalci ne morejo dobiti IP naslova več. Sem še kaj falil?!
Dodati moraš pravila, ki dopustijo uporabo DHCP. Enostavnejši
požarni zid je na primer (vsebina datoteke /etc/sysconfig/iptables):
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state NEW -m limit --limit 20/sec --limit-burst 40 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
COMMIT
Nastavitve so naslednje:
- dopusti ves promet z vmesnika 'lo' (loopback)
- uporabi mehanizem spremljanja povezav in dovoli vse povezave, ki
so v sorodu s kakšno izmed izhodnih povezav
- dovoli le 20 "tujih" paketov ICMP na sekundo
- dovoli SSH
Več o iptables: http://www.netfilter.org
> 2) Ob vsakem DROPu paketka mi po konzoli izpisuje svinjarijo. Kakšna
> možnost, da imam pod LOG še vedno nekatera pravila (hočem, da se mi
> zapišejo v /var/log nekam), vendar ne na zaslon.
Poglej si nastavitve v /etc/syslog.conf
Bolj natančno je stvar opisana v "man syslog.conf"
Verjetno pa je zvito ustrezno nastaviti --log-level:
http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html
--
lep pozdrav,
Rok Papež.
More information about the lugos-list
mailing list