[linux] iptables
J. Matej
matej na vsld.tuzvo.sk
Pondělí Červen 23 13:41:22 CEST 2003
Jan Odzgan wrote:
>
> Takto to vyzera, ked tam mam DROP
>
> ~# iptables -nL | grep Chain
> Chain INPUT (policy DROP)
> Chain FORWARD (policy DROP)
> Chain OUTPUT (policy DROP)
>
> Tymto nastavis policy na ACCEPT :
>
> ~# iptables -P INPUT ACCEPT
> ~# iptables -P FORWARD ACCEPT
> ~# iptables -P OUTPUT ACCEPT
> ~# iptables -nL | grep Chain
> Chain INPUT (policy ACCEPT)
> Chain FORWARD (policy ACCEPT)
> Chain OUTPUT (policy ACCEPT)
>
> V prvom pripade vsetky pakety budu zahadzovane a musis povolit to,
> co chces aby ti preslo cez firewall, v druhom bude vsetko povolene
> a je potrebne zakazovat to, co nechces, aby preslo cez firewall.
Takze ak vezmem do uvahy, ze som niekde cital, ze je vhodnejsie najprv
vsetko zakazat a potom povolit co potrebujem, tak 'moje' nastavenie (nie
som orig.autor) nie je prave optimalne.
>
> On Mon, Jun 23, 2003 at 12:01:59PM +0200, J. Matej wrote:
> > Jan Odzgan wrote:
> > >
> > > Ahoj
> > >
> > > Fungovat by to malo v pripade, ze nemas nastavene default policy na
> > > DROP.
> >
> > A ako to zistim, prip. nastavim spravne ?
> > Vdaka,
> > MJ
> >
> > >
> > > On Mon, Jun 23, 2003 at 09:44:41AM +0200, J. Matej wrote:
> > > > Zdravim Vas,
> > > >
> > > > Skusal som nastavit IPTABLES pre PC s obycajnym modemom. Hotove skripty
> > > > co som niekde vyhrabal neboli u mna funkcne (netusim preco, iptables
> > > > neovladam), ale nieco som namiesal a chcem Vas poziadat o posudenie
> > > > funkcnosti. Mam Mandrake 8.2 bez akychkolvek uprav ci spec. nastaveni.
> > > >
> > > > Toto som pouzil na nastavenie iptables:
> > > > #----------------------------------------------
> > > > #!/bin/bash
> > > >
> > > > ##vlozime moduly na connection-tracking (?sledovanie spojeni?)
> > > > /sbin/depmod -a
> > > >
> > > > /sbin/modprobe ip_conntrack
> > > > /sbin/modprobe ip_conntrack_ftp
> > > >
> > > > ##vytvorime novy chain ktory nam potom zablokuje nove pripojenia, okrem
> > > > ##tych ktore idu zvnutra
> > > >
> > > > iptables -N blokovacichain
> > > > iptables -A blokovacichain -m state --state ESTABLISHED,RELATED -j
> > > > ACCEPT
> > > > iptables -A blokovacichain -m state --state NEW -i ! ppp0 -j ACCEPT
> > > > iptables -A blokovacichain -j DROP
> > > >
> > > > ##potom defaultne INPUT aj FORWARD chainy poslime na tento nas novy
> > > > ##blokovacichain
> > > > iptables -A INPUT -j blokovacichain
> > > > iptables -A FORWARD -j blokovacichain
> > > > #----------------------------------------------
> > > >
> > > > Vdaka,
> > > > J.Matej
> > > > --
> > > > _______________________________________________
> > > > http://lists.linux.sk/listinfo/linux
> > > > Prehladavanie archivu: http://search.lists.linux.sk
> > > > Meta FAQ: http://faq.lists.linux.sk
> > >
> > > ------------------------------------------------------------------------
> > > Part 1.2Type: application/pgp-signature
> > _______________________________________________
> > http://lists.linux.sk/listinfo/linux
> > Prehladavanie archivu: http://search.lists.linux.sk
> > Meta FAQ: http://faq.lists.linux.sk
>
> ------------------------------------------------------------------------
> Part 1.2Type: application/pgp-signature
Další informace o konferenci linux