[ LUGOS ] RE: firewall

ash-ray na writeme.com ash-ray na writeme.com
Pon Apr 17 08:47:10 CEST 2000


> > pozarni zid. IPja sta 192.168.1.1 in 192.168.1.2, na 192.168.1.1 pa se
> > priklopim na net, dialup (torej ppp0).
> > Zdaj pa firewall del:
> > /sbin/ipchains -P input DENY
> > /sbin/ipchains -A input -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/24 -j ACCEPT
> > /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
> > /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 22 -p tcp -i ppp0 -j ACCEPT
> > /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
> > /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 1023 -p tcp -i ppp0 -j ACCEPT
> > /sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p udp -i ppp0 -j ACCEPT
> > 
> > Morda izhajam iz napacnega stalisca - namrec, da je lazje (ali pa vsaj bolj
> > varno) odpreti reci, ki jih potrebujem, kot pa zapirati vse mogoce porte.

To se zdi vsaj meni povsem razumljivo stalisce :=)

> > 
> > Problem? Nekako se ne da srfat, dokler ne dam /sbin/ipchains -P input
> > ACCEPT. Sam rec s tem nekako izgubi smisel. :(
> > 

Mislim (nisem se veliko ukvarjal s firewalli, tako da je lahko tole tudi 
narobe), da ti manjka vrstica
/sbin/ipchains -A input -s 192.168.1.0 -d 0.0.0.0/0 -i eth0 -j ACCEPT
Ker pri sedanji konfiguraciji ti sprejme le paketke, ki so namenjeni za
notranjo mrezo, za ven pa ti jih rejecta. Paketki morajo biti
namrec najprej sprejeti preko pravil za input chain, sele nato
se gre preverjat, ce je potreben masquerading.
 

Gregor Jerse




Dodatne informacije o seznamu Starilist