Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2011-08-17 12:11:42

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Pytanie do fachowców od iptables

Pytanie do fachowców od iptables. Czy takie regóły wystarczą do ochrony sieci? Internet na dsl-u + kilka podsieci ale to już na aliasach kart.
Ten skrypt jest przerabiany już "15 000" razy. W obecnej wersji ma tylko dostarczać neta (okrojony na maxa le działa). Oglądałem innych ludzi firewalle i szoka miałem że kilkaset linii,  regół itd.  Obecnie jestem na etapie "nie znam się" bo już nie pamiętam co która linia robi (dawno o było robione i przerabiane) dlatego pytam że jak ktoś jest na czasie to wystacrczy że zerknie i wie gdzie może być niebezpiecznie albo cos nie tak.

Zapewnie urzekła Was moja historia.


Kod:

#!/bin/bash 

if [ "$1" = "start" ]; then
echo " Stratuje Firewall"

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REJECT


iptables -t nat -F
iptables -t nat -X 
iptables -F -t filter
iptables -X -t filter

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 80.80.80.80


#wlaczam forwarding pakietow
echo 1 > /proc/sys/net/ipv4/ip_forward

#wyloczam ECN 
echo 0 > /proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT DROP
iptables -A INPUT -i ! eth0 -j ACCEPT 
iptables -A INPUT -i ! eth0 -p icmp -j ACCEPT 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


#Blokowanie pingow
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

#Blokowanie syn
iptables -I FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Nowy - bez bitu syn:"
iptables -I FORWARD -p tcp ! --syn -m state --state NEW -j DROP



elif [ "$1" = "stop" ]; then

echo "Zatrzymanie Firewalla"

iptables -F 
iptables -X 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
fi

Ostatnio edytowany przez guzzi (2011-08-17 14:13:45)

Offline

 

#2  2011-08-17 14:39:06

  milyges - inż.

milyges
inż.
Skąd: Gorlice/Kraków
Zarejestrowany: 2006-04-09
Serwis

Re: Pytanie do fachowców od iptables

Nie filtrujesz wcale łańcucha FORWARD....

strona domowa || polski portal debiana

Offline

 

#3  2011-08-17 15:21:27

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: Pytanie do fachowców od iptables

faktycznie zaraz dopiszę

Offline

 

#4  2011-08-26 17:35:19

  stamark - Nowy użytkownik

stamark
Nowy użytkownik
Zarejestrowany: 2011-08-26

Re: Pytanie do fachowców od iptables

Dodałem komputer przez LMS został przydzielony adres ip i jak sie połączam to w przegladarce wyskakuj nieznany sprzet prosze o kontakt z administratorem celem ustalenia personaliów nie masz dostepu do sieci. Czy coś trzeba robic w firewallu debiana iptables.
Prosze o odpowiedz

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)