[ LUGOS ] Firewall (x-files 2/2)
Andraz Hvalica
andraz.hvalica na amis.net
Ned Apr 16 22:07:36 CEST 2000
Se pozarni zid mi dela probleme ... (ja, sem bral HOWTOje, ja :)
Imam dva racunalnika, na temle, ki je hkrati gateway za drugega, je tudi
pozarni zid. IPja sta 192.168.1.1 in 192.168.1.2, na 192.168.1.1 pa se
priklopim na net, dialup (torej ppp0).
Pozarni zid ima eno napako - predober je. Tako dober je, da se sam ne morem
ven. :)
Maskarada dela ok:
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
Zdaj pa firewall del:
/sbin/ipchains -P input DENY
/sbin/ipchains -A input -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/24 -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 22 -p tcp -i ppp0 -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 1023 -p tcp -i ppp0 -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p udp -i ppp0 -j ACCEPT
Morda izhajam iz napacnega stalisca - namrec, da je lazje (ali pa vsaj bolj
varno) odpreti reci, ki jih potrebujem, kot pa zapirati vse mogoce porte.
Tako imam odprt ftp (21), ssh2 (22) in http (80), 1023 je ... hm ... za
kiblin shell potrebujem ssh, pa se mi vrze na 1023. :) Zadnja vrstica naj bi
omogocila DNS, sodec po tem, da mi nslookup deluje, to tudi omogoci.
Problem? Nekako se ne da srfat, dokler ne dam /sbin/ipchains -P input
ACCEPT. Sam rec s tem nekako izgubi smisel. :(
Aja tocno, se ftp ... no, to bo naslednji bonus mail. :)
Drugace pa ... od ljudi, ki imate postavljene firewalle, bi rad izvedel, kaj
vse je se treba odpreti - nekaj mi ocitno manjka. In - ce si jaz to prav
razlagam, to so samo omejitve za vhodne paketke, kar pomeni, da ce se
spomnim uporabit npr. napsterja, tezav ne bi smelo bit? Saj na ven nisem nicesar
zaprl. :)
--
--
Spletni pozdrav,
Andraz - '|Cyc|'
http://home.amis.net/ahvalica/
----------------------------------------------------------------------
"There is no reason anyone would want a computer in their home." --Ken
Olson, president, chairman, and founder of Digital Equipment Corp.,
1977
Dodatne informacije o seznamu Starilist