[linux] Firewall

[Peter Surda]

On Tue, Oct 09, 2001 at 08:49:53AM +0200, Misu wrote:
> HUB - Router
> | `- Server(Firewall)
> PCs
> 
> Dufam, ze to je uz dost nazorna topologia
Ok to je teraz jasne. Este potrebujem vediet ako mate rozdenele
IP-cky/subnety. Mozes dat aj vymyslene cisla len potrebujem vediet ktore compy
su v akom subnete a ako su nastavene rutovacie tabulky.

> Ked mam firewall medzi routerom a hubom, tak to viem spravit... ale takto
> nie... da sa to?
Zavisi od subnetov, za istych okolnosti sa to da.

> passive FTP nepotrebuje odozvu...
Ide o aktivne FTP, na pasivne nepotrebujes spojenia iniciovane zvonka.

> a tie ostatne veci nepotrebujem...  takze stale si stojim za slovom, ze
> dovnutra nic...
Ok kedze ipchains je stateless tak to treba spravit predsa trocha
restriktivnejsie (UDP a ICMP nebude z tych compov fungovat vobec), a sice:
ipchains -A input -d ip_servra -j ACCEPT
ipchains -A input -s ip_servra -j ACCEPT
ipchains -A input -s subnet_ostatnych -j ACCEPT
ipchains -A input -d subnet_ostatnych -p tcp -y -j DENY
ipchains -A input -d subnet_ostatnych -p tcp -j ACCPET
ipchains -A input -d subnet_ostatnych -p icmp -j DENY
ipchains -A input -d subnet_ostatnych -p udp -j DENY

S iptables to ide lepsie, tam mozes ozaj zakazat vchadzajuci traffic aj pre
icmp a udp, jednoducho namiesto vsetkych tych
-d subnet_ostatnych
napises
iptables -A FORWARD -d subnet_ostatnych -m state --state NEW -j DROP
a je to.

>                                                   Misu
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
         The computer revolution is over. The computers won.
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20011009/0b4c6f10/attachment.bin