[ LUGOS ] Firewall (x-files 2/2)

Mitja Novak mitja na mail.velenje.cx
Pon Apr 17 07:20:23 CEST 2000


Ce ne delas velik z firewallom, nimas iskusen .....
pejt na http://firewall.langistix.com/
tam mas ze pripravljene skripte sam zazenes jo (kako vrstico popravis sej
ti pise vse v README)
To ti jaz priporocam.



On Sun, 16 Apr 2000, Andraz Hvalica wrote:

> Se pozarni zid mi dela probleme ... (ja, sem bral HOWTOje, ja :)
> 
> Imam dva racunalnika, na temle, ki je hkrati gateway za drugega, je tudi
> pozarni zid. IPja sta 192.168.1.1 in 192.168.1.2, na 192.168.1.1 pa se
> priklopim na net, dialup (torej ppp0).
> 
> Pozarni zid ima eno napako - predober je. Tako dober je, da se sam ne morem
> ven. :)
> 
> Maskarada dela ok:
> 
> /sbin/ipchains -P forward DENY
> /sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
> 
> Zdaj pa firewall del:
> /sbin/ipchains -P input DENY
> /sbin/ipchains -A input -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/24 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 22 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 1023 -p tcp -i ppp0 -j ACCEPT
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p udp -i ppp0 -j ACCEPT
> 
> Morda izhajam iz napacnega stalisca - namrec, da je lazje (ali pa vsaj bolj
> varno) odpreti reci, ki jih potrebujem, kot pa zapirati vse mogoce porte.
> Tako imam odprt ftp (21), ssh2 (22) in http (80), 1023 je ... hm ... za
> kiblin shell potrebujem ssh, pa se mi vrze na 1023. :) Zadnja vrstica naj bi
> omogocila DNS, sodec po tem, da mi nslookup deluje, to tudi omogoci.
> 
> Problem? Nekako se ne da srfat, dokler ne dam /sbin/ipchains -P input
> ACCEPT. Sam rec s tem nekako izgubi smisel. :(
> 
> Aja tocno, se ftp ... no, to bo naslednji bonus mail. :)
> 
> Drugace pa ... od ljudi, ki imate postavljene firewalle, bi rad izvedel, kaj
> vse je se treba odpreti - nekaj mi ocitno manjka. In - ce si jaz to prav
> razlagam, to so samo omejitve za vhodne paketke, kar pomeni, da ce se
> spomnim uporabit npr. napsterja, tezav ne bi smelo bit? Saj na ven nisem nicesar
> zaprl. :)
> 
> -- 
> -- 
> Spletni pozdrav,
> 
> 		Andraz - '|Cyc|'
> 
> http://home.amis.net/ahvalica/
> ----------------------------------------------------------------------
> "There is no reason anyone would want a computer in their home." --Ken
> Olson, president, chairman, and founder of Digital Equipment Corp.,
> 1977
> 




Dodatne informacije o seznamu Starilist