[ LUGOS ] Firewall (x-files 2/2)
Primož Hrvatin
primoz na noviforum.si
Pon Apr 17 14:09:19 CEST 2000
Andraz Hvalica wrote:
> Zdaj pa firewall del:
> /sbin/ipchains -P input DENY
> /sbin/ipchains -A input -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/24 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 22 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 1023 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p udp -i ppp0 -j ACCEPT
Ahm, valjda da ti ne dela, ker so vsi tvoji porti destination porti, i.e.
se pravi, da ti prepusca povezave na tvoj WWW server, FTP server,..., v
nasprotno smer pa ne. Torej, ce uporabljas firewall izklucno za
filtriranje, lahko dodas se prepuscanje portov maskarade:
/sbin/ipchains -A input -i ppp0 -p tcp --dport 61000:65096 -j ACCEPT
/sbin/ipchains -A input -i ppp0 -p udp --dport 61000:65096 -j ACCEPT
Tako bos imel vse odprto z lokalne mreze. Ne bos pa mogel browsat, ftpjat,
... s firewall masine, ce pa to hoces, potem pa tvoje nastavitve nadomesti
z:
/sbin/ipchains -A input -i ppp0 -p tcp --sport 21 -j ACCEPT
/sbin/ipchains -A input -i ppp0 -p tcp --sport 80 -j ACCEPT
... itd.
To sicer ni ni najbolj varna postavitev firewalla, boljse bi bilo, da nimas
na firewall boxu nobenih portov odprtih, razen maskarade, vendar bo zadosti
dobra za "surfarske" potrebe :)
LP,
Primoz
Dodatne informacije o seznamu Starilist