Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-05-08 20:42:14

  T.N. - Użytkownik

T.N.
Użytkownik
Zarejestrowany: 2005-09-01

iptables - co wkompilować w jądro?

Witam.

Co powinno być wkompilowane w jądro, aby poniżej przedstawiony firewall działał poprawnie? Przy ostatniej kompilacji miałem zaznaczone: Network packet filtering (replaces ipchains) i zdecydowaną większość tego co jest w Core Netfilter Configuration i w IP: Netfilter Configuration, ale mimo to nie działa poprawnie. Nie działa na przykład linijka mówiąca o połączeniach ustanowionych i z nimi związanych. Chciałbym zaznaczyć tylko te opcje, które są naprawdę potrzebne do tego firewalla, a resztę wyrzucić.

firewall

Kod:

#!/bin/bash

case "$1" in
start)
  # Czyszczenie tablic IPtables
  iptables -F -t filter
  iptables -X -t filter

  # Domyślna polityka, odrzucamy wszystkie przychodzące pakiety
  iptables -P INPUT DROP

  # Przepuszczenie połączeń na interfejsie lokalnym
  iptables -A INPUT -s 127.0.0.1 -j ACCEPT

  # Przepuszczamy pakiety z nawiązanych połączeń i pakiety towarzyszące
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  # p2p, sieć e2k
  iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
  iptables -A INPUT -p udp --dport 4666 -j ACCEPT

  # ping
  # nikt nas nie spinguje

  iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT #odpowiedź na echo request
  iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT #żądanie echa

  iptables -A INPUT -p icmp --icmp-type network-unreachable -j ACCEPT #sieć nieosiągalna
  iptables -A INPUT -p icmp --icmp-type host-unreachable -j ACCEPT #host nieosiągalny
  iptables -A INPUT -p icmp --icmp-type port-unreachable -j ACCEPT #port nieosiągalny
  iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #wymagana fragmentacja
  ;;
stop)
  iptables -F -t filter
  iptables -X -t filter
  iptables -P INPUT ACCEPT
  iptables -P OUTPUT ACCEPT
  ;;
restart)
  $0 stop
  $0 start
  ;;
esac

Offline

 

#2  2006-05-09 08:26:24

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: iptables - co wkompilować w jądro?

Offline

 

#3  2006-05-14 07:59:12

  T.N. - Użytkownik

T.N.
Użytkownik
Zarejestrowany: 2005-09-01

Re: iptables - co wkompilować w jądro?

Próbowałem już konfigurować na różne sposoby, między innymi tak jak tam podawała BiExi, ale za każdym razem nie działa ta reguła:

Kod:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

Po prostu nie można nawiązać żadnego połączenia. Samo PPP działa poprawnie, mój poprzedni firewall, który sprawdzał porty źródłowe pakietów także. Czy może mi ktoś powiedzieć dokładnie która opcja umożliwia działanie powyższej regułki?

Offline

 

#4  2006-05-14 18:13:26

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: iptables - co wkompilować w jądro?

Zauważ, że w poscie BiExi poleca kompilować iptables jako moduły. Czyli teraz zeby wykorzystać pewne funkcjonalności iptables musisz załadować wcześniej odpowiednie moduły. Co do opcji state podejrzewam ze należałoby załadować moduł jądra ipt_state.

Offline

 

#5  2006-05-14 21:40:22

  T.N. - Użytkownik

T.N.
Użytkownik
Zarejestrowany: 2005-09-01

Re: iptables - co wkompilować w jądro?

Zauważ, że w poscie BiExi poleca kompilować iptables jako moduły. Czyli teraz zeby wykorzystać pewne funkcjonalności iptables musisz załadować wcześniej odpowiednie moduły. Co do opcji state podejrzewam ze należałoby załadować moduł jądra ipt_state.

Tak, tylko że ja akurat wkompilowuję to na stałe, bo albo czegoś będę używał codziennie, albo nie będę używać tego wcale. Sprawdziłem jeszcze raz wszystkie opcje związane z Network Packet Filtering i nie ma tam niczego co miałoby "state" w nazwie lub w opisie. Dlatego chodzi mi o to, która opcja w konfiguratorze za to odpowiada, a nie o nazwę modułu.

Edit: Już to jakoś znalazłem, opcja "state" match support pojawiła się dopiero po zaznaczeniu Connection tracking (required for masq/NAT).

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)