Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Pytanie do fachowców od iptables. Czy takie regóły wystarczą do ochrony sieci? Internet na dsl-u + kilka podsieci ale to już na aliasach kart.
Ten skrypt jest przerabiany już "15 000" razy. W obecnej wersji ma tylko dostarczać neta (okrojony na maxa le działa). Oglądałem innych ludzi firewalle i szoka miałem że kilkaset linii, regół itd. Obecnie jestem na etapie "nie znam się" bo już nie pamiętam co która linia robi (dawno o było robione i przerabiane) dlatego pytam że jak ktoś jest na czasie to wystacrczy że zerknie i wie gdzie może być niebezpiecznie albo cos nie tak.
Zapewnie urzekła Was moja historia.
#!/bin/bash if [ "$1" = "start" ]; then echo " Stratuje Firewall" /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ipt_REJECT iptables -t nat -F iptables -t nat -X iptables -F -t filter iptables -X -t filter iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 80.80.80.80 #wlaczam forwarding pakietow echo 1 > /proc/sys/net/ipv4/ip_forward #wyloczam ECN echo 0 > /proc/sys/net/ipv4/tcp_ecn iptables -P INPUT DROP iptables -A INPUT -i ! eth0 -j ACCEPT iptables -A INPUT -i ! eth0 -p icmp -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #Blokowanie pingow iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT #Blokowanie syn iptables -I FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Nowy - bez bitu syn:" iptables -I FORWARD -p tcp ! --syn -m state --state NEW -j DROP elif [ "$1" = "stop" ]; then echo "Zatrzymanie Firewalla" iptables -F iptables -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT fi
Ostatnio edytowany przez guzzi (2011-08-17 14:13:45)
Offline
Nie filtrujesz wcale łańcucha FORWARD....
Offline
faktycznie zaraz dopiszę
Offline
Dodałem komputer przez LMS został przydzielony adres ip i jak sie połączam to w przegladarce wyskakuj nieznany sprzet prosze o kontakt z administratorem celem ustalenia personaliów nie masz dostepu do sieci. Czy coś trzeba robic w firewallu debiana iptables.
Prosze o odpowiedz
Offline