Forum Debian Users Gang

Witam,
ostatnio głowie się jak trochę umilić życie moim użytkownikom, nadszedł dzień kiedy przegięli ze ściąganiem z p2p. Chciałbym zrobić firewall na iptables żeby puszczał tylko ruch na podstawoych portach www ftp poczta dns i tyle. Wszystko inne chce zablokować. Powoli składam jakieś regułki z iptables ale jeszcze sie tego ucze. Jesli możecie to zerknijcie czy ide dobrym tropem.  Poniżej listing tego co stworzyłem, tzn zablokowałem wszystko a potem odblokowuje poszczególne reguły (narazie ssh). Proszę nie śmiejcie się ;-) bo ja się ócze ;-)


# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# ustawienie domyslnej polityki
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# obsługa ruchu wewnetrznego
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Accept packets from trusted IP addresses
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT  # using standard slash notation
#iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT # using a subnet mask


# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# Zezwolenie tylko na połączenia nadchodzące ssh - WAN
iptables -A INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT
# Zezwolenie na ssh z sieci wewnetrznej LAN
iptables -A INPUT -p tcp -s 0/0 -d $SERVER_IP_LAN --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP_LAN -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT

Pozdrawiam