[ LUGOS ] ipchains nastavitev za syslog
Jernej Horvat
j na elite.org
Čet Okt 12 03:30:38 CEST 2000
On Wed, Oct 11, 2000 at 06:03:03PM +0200, Tadej Blatnik wrote:
> Zanima me kako napisati ukaz ipchains - da syslog ne bi logiral zahtev z
> nekega znanega IPja. Ali je to sploh mozno?
ipchains --help
--log -l turn on kernel logging for matching packets
Izkljuci logiranje.
> 193.189.176.176:5 193.189.176.180:0
port 5 ??
general rule:
ipchains * -j DENY
ipchains dolocen_servis -J ACCEPT
...npr.
ip="tvoja.ip.stevilka.!"
#
ipchains -F
ipchains -F input
ipchains -F forward
ipchains -F output
#
ipchains -P input DENY
ipchains -P forward DENY
ipchains -P output ACCEPT
#
ipchains -A input -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
#ipchains -A input -i eth0 -p icmp --icmp-type echo-request -j DENY
ipchains -A input -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A input -i eth0 -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A input -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A input -i eth0 -p icmp --icmp-type parameter-problem -j ACCEPT
# ftp
ipchains -A input -i eth0 -p tcp -d $ip/32 20 -j ACCEPT
ipchains -A input -i eth0 -p tcp -d $ip/32 21 -j ACCEPT
# http
ipchains -A input -i eth0 -p tcp -d $ip/32 80 -j ACCEPT
#smtp
ipchains -A input -i eth0 -p tcp -d $ip/32 25 -j ACCEPT
#ssh
ipchains -A input -i eth0 -p tcp -d $ip/32 22 -j ACCEPT
ipchains -A input -i eth0 -p tcp -d $ip/32 1023:65535 ! -y -j ACCEPT
ipchains -A input -i eth0 -p udp -d $ip/32 1023:65535 -j ACCEPT
# Dovoljeno iz lo
ipchains -A input -i lo -p all -s 127.0.0.1/8 -j ACCEPT
ipchains -A input -i lo -p all -s $ip/32 -j ACCEPT
--
tcpdump is your friend
Dodatne informacije o seznamu Starilist