abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
včera 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 5
včera 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
včera 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
16.1. 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 7
15.1. 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 6
15.1. 13:37 | Zajímavý projekt

1. ledna byl představen projekt Liri (GitHub). Jedná se o spojení projektů Hawaii, Papyros a původního projektu Liri s cílem vyvíjet operační systém (linuxovou distribuci) a aplikace s moderním designem a funkcemi. Včera byl představen Fluid 0.9.0 a také Vibe 0.9.0. Jedná se o toolkit a knihovnu pro vývoj multiplatformních a responzivních aplikací podporující Material Design (Wikipedie) a volitelně také Microsoft Design Language (designový jazyk Microsoft) [reddit].

Ladislav Hagara | Komentářů: 10
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (74%)
 (3%)
 (10%)
Celkem 313 hlasů
 Komentářů: 24, poslední včera 10:14
    Rozcestník
    Reklama

    Dotaz: konfigurace iptables ve Fedora Core4

    4.3.2006 10:34 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    konfigurace iptables ve Fedora Core4
    Přečteno: 386×
    Nastavujeme iptables ,aby fungoval jako firewall a router. Nevíme jakým způsobem máme ověřit bezpečnost sítě. Máme server se dvěma eth porty. eth0 je připojen na internet a eth1 je připojen na vnitřní LAN. Zde je naše konfigurace. Za jakýkoliv komentář budeme vděční.
    #konfigurace stavovy firewall iptables
    #vycisteni vsech retezcu iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD #vsechno zakazeme iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #####################INPUT############################### #povolime webovy server na eth0 iptables -A INPUT -p TCP -i eth0 --dport 80 -j ACCEPT #povolime prichozi DNS na eth0 iptables -A INPUT -p TCP -i eth0 --dport 53 -j ACCEPT iptables -A INPUT -p UDP -i eth0 --dport 53 -j ACCEPT #povolit servisni pakety ICMP (echo, traceroute) iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT #povolime vsechny prichozi pakety z eth1 (LAN) iptables -A INPUT -p ALL -i eth1 -j ACCEPT iptables -A INPUT -p ALL -i lo -j ACCEPT #umoznime odchozim pripojenim z tohoto pocitace odpovidat iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p icmp iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p tcp iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p udp #logujeme vsechny ostatni prichozi pakety iptables -A INPUT -j LOG ###########################OUTPUT########### #povolime vystup z IP eth0 //je to bezpecne? iptables -A OUTPUT -p ALL -s 127.0.0.1 ACCEPT //musi zde byt? iptables -A OUTPUT -p ALL -s 1.2.3.4 ACCEPT #################Routovani##################//nevim zda je to spravne iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Odpovědi

    4.3.2006 11:10 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Co takhle se inspirovat firewall 1 ono je těch příkladů málo ?

    A co pravidla ve FORWARD ? Co port 113 ?

    ---> iptables -A OUTPUT -p ALL -s 127.0.0.1 ACCEPT //musi zde byt? ZRUŠIT
    adresa 127.0.0.1 nemá co dělat na žádné sítovce

    zapsat:
    # local
    /sbin/iptables -A OUTPUT -o lo -j ACCEPT
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    4.3.2006 16:38 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše konfigurace iptables ve Fedora Core4
    Děkuji za odpověď Na co port 113? trošku jsem upravil konfigurační soubor. Ale stejně si nejsem jistý z OUTPUT a FORWARD.
    #konfigurace stavovy firewoll iptables
    
    #vycisteni vsech retezcu
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    
    #vsechno zakazeme
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    
    
    #####################INPUT###############################
    
    #povolime webovy server na eth0
    iptables -A INPUT -p TCP -i eth0 --dport 80 -j ACCEPT
    
    #povolime prichozi DNS na eth0
    iptables -A INPUT -p TCP -i eth0 --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP -i eth0 --dport 53 -j ACCEPT
    
    #povolit servisni pakety ICMP (echo, traceroute)
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT
    
    #povolime vsechny prichozi pakety z eth1 (LAN)
    iptables -A INPUT -p ALL -i eth1 -j ACCEPT
    iptables -A INPUT -p ALL -i lo -j ACCEPT
    
    #umoznime odchozim pripojenim z tohoto pocitace odpovidat
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p icmp
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p tcp
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p udp
    
    #logujeme vsechny ostatni prichozi pakety
    iptables -A INPUT -j LOG
    
    ###########################OUTPUT###########   //je to správně?
    
    #povolime vystup z IP eth0
    iptables -A OUTPUT -p ALL -s 1.2.3.4 ACCEPT
    iptables -A OUTPUT -p ALL -o lo -j ACCEPT        
    
    #logujeme vsechny ostatni odchozí pakety
    iptables -A OUTPUT -j LOG
    
    ###########################FORWARD###########   //je to správně?
    
    #povolime vse z vnitřní sítě
    iptables -A FORWARD -i eth1 -j ACCEPT        
    
    #povolime pakety z internetu, které již patří k existujícímu spojení
    iptables -A FORWARD -i eth0 -o eth1 -m state /
     --state ESTABLISHED,RELATED -j ACCEPT 
    
    
    #################Routovani##################//nevim zda je to spravne
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    
    4.3.2006 19:39 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Děkuji za odpověď Na co port 113?
    Protože se zdržuje spojení pokud se zahodí port 113 u programů které používají autorizaci.
    #povolime webovy server na eth0
    iptables -A INPUT -p TCP -i eth0 --dport 80 -j ACCEPT
    
    Proč pouze z eth0 ? na www budeme chtít odevšad ne ? Zrušit -i eth0
    #povolime vsechny prichozi pakety z eth1 (LAN)
    iptables -A INPUT -p ALL -i eth1 -j ACCEPT
    
    Skutečně chcete vše z místní sítě povolit ? Předně bych zablokoval sambu a podobné nesmysly porty 137 až 139 a 445
    iptables -A INPUT -p ALL -i lo -j ACCEPT
    
    #umoznime odchozim pripojenim z tohoto pocitace odpovidat
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p icmp
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p tcp
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p udp
    
    Proč to máte třikrát co zjednodušit

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    ###########################FORWARD###########   //je to správně?
    
    #povolime vse z vnitřní sítě
    iptables -A FORWARD -i eth1 -j ACCEPT        
    
    Zase skutečně povolit všechno ???
    #povolime pakety z internetu, které již patří k existujícímu spojení
    iptables -A FORWARD -i eth0 -o eth1 -m state /
     --state ESTABLISHED,RELATED -j ACCEPT 
    
    Zase proč to nezjednodušit

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #################Routovani##################//nevim zda je to spravne
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    
    Doufám že jsem se nesekl někde - proč se neinspirujete těmi příklady ? A něco si nepřečtete - příkladů je na internetu dost a dost.
    4.3.2006 19:45 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Jinak ještě jsem zapoměl pokud ten PC má stabilní IP tak bych místo:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
    Použil:
    
    # MASKARADA
    /sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to vaše_IP.x.y.z.j
    
    4.3.2006 22:22 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše konfigurace iptables ve Fedora Core4

    Děkujeme za opravy a inspirující podněty. Dokumentace mame spoustu, avsak nektere poktocile volby nam zatim nejsou uplne jasne. Snazili jsme se spravne reagovat na vsechny vase podnety. S vasi pomoci a dokumentace z Internetu jsme slozili finalni verzi. Dekujeme za pomoc.

    Jeste dotaz: Mame filtrovat i OUTPUT?
    iptables -A OUTPUT -p ALL -s 1.2.3.4 ACCEPT 
    
    na konci nahravame moduly. Je to nutne?
    ###############Moduly###########################
    #nahravame moduly pro FTP, logovani, odmitnuti, omezeni a stavu
    insmod ip_conntrack_FTP
    insmod ipt_LOG
    insmod ipt_REJECT
    insmod ipt_limit
    insmod ipt_state
    
    pridali jsme ochranu pred falsovanim adres do INPUT i do FORWARD
    #ochrana pred falsovani adres (spoofing)
    #zakaze adresy pro lokalni site
    iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth0 -s 172.16.0.0/12  -j DROP
    iptables -A INPUT -i eth0 -s 10.0.0.0/8     -j DROP
    
    omezili jsme logovani z duvodu ochrany DOS
    #logujeme vsechny ostatni prichozi pakety
    #logovani je nastaveno, tak ze je-li vypusteno vice jak 5 paketu
    #za 3 sekundy, budou ignorovany.
    # ochrana pred DOS
    iptables -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG
    
    Zde je finální verze našeho firewallu a routeru pro Fedora Core4
    #konfigurace stavovy firewall iptables
    
    #vycisteni vsech retezcu
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    
    #vsechno zakazeme
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    
    
    #####################INPUT###############################
    
    #povolime SSH pro vzdaleny pristup
    iptables -A INPUT -p TCP --dport 22 -j ACCEPT
    
    #povolime webovy server pro vsechny (443 - SSL)
    iptables -A INPUT -p TCP --dport 80 -j ACCEPT
    iptables -A INPUT -p TCP --dport 443 -j ACCEPT
    
    #povolime port 113 pro programy, ktere pouzivaji autentizaci
    iptables -A INPUT -p TCP --dport 113 -j ACCEPT
    
    #povolime prichozi DNS pro vsechny
    iptables -A INPUT -p TCP --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP --dport 53 -j ACCEPT
    
    #povolit servisni pakety ICMP (echo, traceroute)
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
    iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT
    
    #povolime prichozi pakety z eth1  na port 80 a 443(www), 21(ftp),
    # 22(SSH), 25(SMTP)
    iptables -A INPUT -p ALL -i eth1 --dport 80 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 443 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 21 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 22 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 25 -j ACCEPT 
    
    #povolit rozhrani loopback
    iptables -A INPUT -p ALL -i lo -j ACCEPT
    
    #umoznime odchozim pripojenim z tohoto pocitace odpovidat
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
    
    #logujeme vsechny ostatni prichozi pakety
    #logovani je nastaveno, tak ze je-li vypusteno vice jak 5 paketu
    #za 3 sekundy, budou ignorovany.
    # ochrana pred DOS
    iptables -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG
    
    #ochrana pred falsovani adres (spoofing)
    #zakaze adresy pro lokalni site
    iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth0 -s 172.16.0.0/12  -j DROP
    iptables -A INPUT -i eth0 -s 10.0.0.0/8     -j DROP
    
    
    ###########################OUTPUT###########  
    
    #povolime vystup z IP eth0
    iptables -A OUTPUT -p ALL -s 1.2.3.4 ACCEPT //OUTPUT nijak neomezuji.?
    iptables -A OUTPUT -p ALL -o lo -j ACCEPT        
    
    #logujeme vsechny ostatni odchozí pakety
    iptables -A OUTPUT -j LOG
    
    ###########################FORWARD###########  
    #povolime pakety z vnitrni site na port 80,443(ssl), 
    21(ftp),22(ssh),25(smtp), autentizace(113)
    #
    iptables -A FORWARD -i eth1 --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth1 --dport 443 -j ACCEPT
    iptables -A FORWARD -i eth1 --dport 21 -j ACCEPT 
    iptables -A FORWARD -i eth1 --dport 22 -j ACCEPT          
    iptables -A FORWARD -i eth1 --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth1 --dport 113 -j ACCEPT
    
    #povolime pakety z internetu, které již patří k existujícímu spojení
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 
    
    #ochrana pred falsovani adres (spoofing)
    #zakaze adresy pro lokalni site
    iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
    iptables -A FORWARD -i eth0 -s 172.16.0.0/12  -j DROP
    iptables -A FORWARD -i eth0 -s 10.0.0.0/8     -j DROP
    
    
    
    #################Routovani##################
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
    
    
    
    ###############Moduly###########################
    #nahravame moduly pro FTP, logovani, odmitnuti, omezeni a stavu
    insmod ip_conntrack_FTP
    insmod ipt_LOG
    insmod ipt_REJECT
    insmod ipt_limit
    insmod ipt_state
    
    
    5.3.2006 00:57 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Pokud port 113 nepoužíváte tak ho zakažte ale nezahazujte (DROP) ale odmítněte (REJECT).

    OUTPUT filtrovat celkem nemusíte, ale je to dobrá ochrana aby lokální IP a lokální provoz náhodou se nedostaly do internetu při špatném routingu. (samba a pod....)

    Moduly se většinou nahrají samy při použití iptables (aspoň u FC4), jinak se dají nadefinovat v konfiguráku (platí pouze pro FC RH ) /etc/sysconfig/iptables-config :-) pokud provádíte nahrání pravidel pomocí systémových skriptů FC (viz: firewall 1)

    Dále tyto pravidla tam máte zbytečně dvakrát:
    #povolime SSH pro vzdaleny pristup
    iptables -A INPUT -p TCP --dport 22 -j ACCEPT
    #povolime webovy server pro vsechny (443 - SSL)
    iptables -A INPUT -p TCP --dport 80 -j ACCEPT
    iptables -A INPUT -p TCP --dport 443 -j ACCEPT
    
    #povolime prichozi pakety z eth1  na port 80 a 443(www), 21(ftp),
    # 22(SSH), 25(SMTP)
    zbytečné už je povolen -> iptables -A INPUT -p ALL -i eth1 --dport 80 -j ACCEPT
    zbytečné už je povolen -> iptables -A INPUT -p ALL -i eth1 --dport 443 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 21 -j ACCEPT
    zbytečné už je povolen -> iptables -A INPUT -p ALL -i eth1 --dport 22 -j ACCEPT
    iptables -A INPUT -p ALL -i eth1 --dport 25 -j ACCEPT 
    
    5.3.2006 07:30 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše konfigurace iptables ve Fedora Core4

    Dobré ráno, děkujeme za pomoc

    1.Jaký je prosím rozdíl mezi DROP a REJECT? tedy mezi zahodit a odmítnout

    5.3.2006 11:38 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    DROP - paket se zahodí - nic se nikam neposílá program většinou potom čeká na timeout a až potom vypíše chybu což může trvat i minuty.

    REJECT - paket se odmítne - pošle se paket spátky s tím že byl odmítnut takže program co ho vyslal nemusí čekat na timeout a většinou vypíše nějaké chybové hlášení hned.
    27.4.2006 20:33 sandokan
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Řekl bych, že tam máte závažnou chybu. Musíte řádky které zakazují (DROP, REJECT) dávat před řádky, které povolují (ACCEPT). Jinak se vám stane, že pakety, které mají být zahozené, zahozené nebudou. To proto, že byly na přecházejícím řádku povoleny. Musíte si uvědomit, že iptables prochází řádky postupně a jakmile narazí na první řádek který vyhovuje pravidlu (ACCEPT, DROP, REJECT), tak následující nezkoumá!

    Ve vašem případě řádky:
    #logujeme vsechny ostatni prichozi pakety
    #logovani je nastaveno, tak ze je-li vypusteno vice jak 5 paketu
    #za 3 sekundy, budou ignorovany.
    # ochrana pred DOS
    iptables -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG
    
    #ochrana pred falsovani adres (spoofing)
    #zakaze adresy pro lokalni site
    iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth0 -s 172.16.0.0/12  -j DROP
    iptables -A INPUT -i eth0 -s 10.0.0.0/8     -j DROP
    
    vůbec nepříjdou na řadu, pokud na předcházejících řádcích vyhoví nějaké podmíce, což je velmi pravděpodobné.
    2.5.2006 13:32 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Jednoduchá konfigurace iptables ve Fedora Core4

    Dobrý den velmi děkuji za Váši připomínku. Opravený script přikládám

    #!/bin/sh
    #
    #konfigurace stavovy firewall iptables a router
    #podle Pana Petricka, Sobane a dalsich...
    #
    #Fedora Core 4
    #
    #Server eth0 192.168.161.23 (venkovni sit pripojena na Internet)
    #       eth1 192.168.1.1     (vnitrni sit)
    #
    #poznamky:po odskouseni zastavit logovani
    #         nastavit casy pro FTP
    #         test INPUT na eth0
    
    # cesta k iptables
    iptables=/sbin/iptables
    
    #vycisteni vsech retezcu
    $iptables -F INPUT
    $iptables -F OUTPUT
    $iptables -F FORWARD
    
    #vsechno zakazeme -P, --policy - Výchozí politika øetìzce, vystup - povolen!!!
    $iptables -P INPUT DROP
    $iptables -P OUTPUT ACCEPT
    $iptables -P FORWARD DROP
    
    ################# Obecna ochrana ##################
    #logovani inputu na eth0 ; potreba doplnit a otestovat,
    #$iptables -A INPUT -i eth0 -j LOG --log-level debug --log-prefix "FIREWALL:"
    $iptables -A INPUT -i eth0 -d 192.168.1.2 -j LOG --log-level debug --log-prefix "dovnitr site :"
    $iptables -A INPUT -i eth0 -d 192.168.1.3 -j LOG --log-level debug --log-prefix "dovnitr site : "
    $iptables -A INPUT -i eth0 -d 192.168.1.4 -j LOG --log-level debug --log-prefix "dovnitr site : "
    
    # Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
    $iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    
    # Portscan s nastavenym SYN,FIN
    $iptables -A INPUT -p tcp -i eth0 --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-level debug --log-prefix="Portscan SYN, FIN: "
    $iptables -A INPUT -p tcp -i eth0 --tcp-flags SYN,FIN SYN,FIN -j DROP
    
    #ochrana pred DoS (pakety s priznakem SYN)
    #pokud bude paketu tcp s priznakem SYN mene nez 5 za sec
    #navrati se zpatky do INPUTU
    #jinak se zahodi
    $iptables -N syn_flood
    $iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
    $iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
    $iptables -A syn_flood -j DROP
    
    #TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
    #pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
    #$iptables -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
    #$iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
    #$iptables -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
    #$iptables -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
    
    #ochrana pred falsovani adres (spoofing)
    #zakaze adresy pro lokalni site
    #iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
    #iptables -A INPUT -i eth0 -s 172.16.0.0/12  -j DROP
    #iptables -A INPUT -i eth0 -s 10.0.0.0/8     -j DROP
    
    #################Routovani##################
    # zapneme routovani 
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    $iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.161.23
    
    ####################INPUT###############################
    #povolime dotazy www na vstup eth0
    $iptables -A INPUT -i eth0 -d 192.168.161.23 -p tcp --dport 80 -j ACCEPT
    $iptables -A INPUT -i eth0 -d 192.168.161.23 -p tcp --dport 443 -j ACCEPT
    
    #povolime FTP na vstup eth0
    #pro funkci --time musí byt  v jadre modul CONFIG_IP_NF_MATCH_TIME
    #casove omezeni pro FTP od 18.00 - 20.00h
    #$iptables -A INPUT -i eth0 -s 192.168.161.23 -p tcp --dport 21 -m time --timestart 18:00 --timestop 20:00 -j ACCEPT
    
    #odmitneme port 113 pro programy, ktere pouzivaji autentizaci
    #$iptables -A INPUT -p TCP --dport 113 -j REJECT
    
    #povolime prichozi DNS pro vsechny
    #$iptables -A INPUT -p TCP --dport 53 -j ACCEPT
    #$iptables -A INPUT -p UDP --dport 53 -j ACCEPT
    
    #povolime ping, routet a dalsi z ICMP
    #omezeni 5 odpovedi ping za 1 sec (ochrana pred DOS)
    #po odzkouseni asi zakazat
    #$iptables -A INPUT -p icmp -j ACCEPT
    
    #povolit rozhrani loopback
    $iptables -A INPUT -i lo -j ACCEPT
    
    #umoznime odchozim pripojenim z tohoto pocitace odpovidat
    $iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    #povolime vsechno ze vstupu eth1
    $iptables -A INPUT -i eth1 -j ACCEPT
    
    ###########################FORWARD###########  
    #Pokud paket pøichází z eth1 z IP 192.168.1.2 - 192.168.1.4
    # a chce opustit eth0, povol, 
    # nevim presne jak se pise rozmezi adres
    $iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.2 -j ACCEPT
    $iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.3 -j ACCEPT
    $iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.4 -j ACCEPT
    
    #povolime pakety z internetu, ktere jiz patri k existujicimu spojeni
    $iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 
    
    
    27.4.2006 14:32 Petr P.
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Chci se zeptat, níže uvedený řádek znamená přesně co?Pokud to alespoň trochu rozumím, zapne se tím nat, čili překlad adres pro vnitřní síť - budou tedy moct přistupovat pc v LAN na internet? A jakou napřiklad adresu si mám představit pod 1.2.3.4.? Tu jednu veřejnou? Děkuji za odpověď

    #################Routovani##################

    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
    27.4.2006 14:46 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Třeba si o tom něco přečíst :-)

    Třeba 3. Dva druhy NAT konkrétně 6.1 Zdrojová NAT

    Jinak provede se to že vše co odchází přes eth0 tak přepíše zdrojovou adresu na 1.2.3.4.
    27.4.2006 15:11 Petr P.
    Rozbalit Rozbalit vše Re: konfigurace iptables ve Fedora Core4
    Takže přístup k internetu budou mít. Děkuji za linky.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.