Administrace komentářů

Začínám realizovat novou síť založenou na serverech Linux. Potřebuji poradit. Síť dva servery. Na prvním serveru poběží tradičně www,ftp,el.pošta + firewall (vím, není dobré to mít vše na jednom,ale nechme to tak). Ve vnitřní síti bude druhý server s linuxem pro připojení klientů. Zde bych ještě rád měl možnost použití VPN. Potřebuji radu ohledně nastavení. Ve zdejších příspěvcích jsem sice něco našel, nějak si to dal dohromady,ale prosím ještě o vaše připomínky.V tomto nastavení ještě VPN nemám a tak prosím o radu. iptables –F INPUT
iptables –F OUTPUT
iptables –F FORWARD

iptables –P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP

#VSTUP
#povolíme webový server pro všechny, port 80 a port 443 SSL
iptables –A INPUT –p TCP --dport 80 –j ACCEPT
iptables –A INPUT –p TCP --dport 443 –j ACCEPT

#povolíme port 113 pro programy, které používají autentizaci
iptables -A INPUT -p TCP --dport 113 -j ACCEPT

#zde povolíme příchozí DNS pro všechny
iptables -A INPUT -p TCP --dport 53 -j ACCEPT
iptables -A INPUT -p UDP --dport 53 -j ACCEPT

#povolíme pakety ICMP
iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

#povolíme příchozí pakety z eth1 (ze sítě LAN) na porty 80,443,21,25 iptables -A INPUT -p ALL -i eth1 --dport 80 -j ACCEPT
iptables -A INPUT -p ALL -i eth1 --dport 443 -j ACCEPT
iptables -A INPUT -p ALL -i eth1 --dport 21 -j ACCEPT
iptables -A INPUT -p ALL -i eth1 --dport 25 -j ACCEPT

#povolíme rozhraní loopback
iptables -A INPUT -p ALL -i lo -j ACCEPT

# ochrana před DOS útoky
iptables -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG

# zde nastavíme ochranu před tzv.spoofingem čili falšováním IP adres
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
#VYSTUP
#povolit výstup z IP eth0
iptables -A OUTPUT -p ALL -s 1.2.3.4 ACCEPT
iptables -A OUTPUT -p ALL -o lo -j ACCEPT

#FORWARD
#povolime pakety z vnitrni site na port 80,443,21,25, autentizace(113)
iptables -A FORWARD -i eth1 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 --dport 113 -j ACCEPT

#povolit pakety z internetu, které již patří k existujícímu spojení
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# zde nastavíme ochranu před tzv.spoofingem čili falšováním IP adres
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP