Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

1.11.2009 00:20 petka | skóre: 25 | blog: heydax | Klasterec N/O
Rozbalit Rozbalit vše Re: iptables

Tohle je asi nejlepsi rozebrani iptables . http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables Nebo staci se podivat tady po abclinuxu . http://www.abclinuxu.cz/clanky/bezpecnost/firewall-na-slackware Jinak muj firewall s dalsima moznostma vypada asi nejak takhle .

#! /bin/sh

PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin"

WAN_IP="10.222.1.17"
IPTABLES="/sbin/iptables"


LAN="eth0"
WIFI="ath0"
WAN="eth1"

set -e

case "$1" in
  start)
	echo -n "Nahravam pravidla pro iptables (firewall,masquerade)"
	
	# =============================================================
	
	# Paranoia zakladni politka
	$IPTABLES -P INPUT DROP
	$IPTABLES -P OUTPUT ACCEPT
	$IPTABLES -P FORWARD DROP
	
	# rp_filter na zamezeni IP spoofovani
	for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done

	# Ochrana pred Dos utokem
	echo 1 >/proc/sys/net/ipv4/tcp_syncookies
	   

	# Flush all old
	$IPTABLES -F
	$IPTABLES -t nat -F

	# =============================================================
	# Loopback a interni interface
	# =============================================================
	
	$IPTABLES -A INPUT -i lo -j ACCEPT
	$IPTABLES -A INPUT -i $LAN -j ACCEPT
	$IPTABLES -A INPUT -i $WIFI -j ACCEPT
	
	# =============================================================
        # Povoleni portu na WAN                                            
        # =============================================================    
        $IPTABLES -A INPUT -i $WAN -p UDP -s 0/0 --sport 53 -d $WAN_IP --dport 1025: -j ACCEPT          #DNS
        $IPTABLES -A INPUT -i $WAN -p TCP -s 0/0 -d $WAN_IP --dport 22000 -j ACCEPT                     #SSH
        # =============================================================                                     
        # Presmerovavani portu                                                                              
        # =============================================================                                     
        #Provede presmerovani portu 80 na port 8088
        $IPTABLES -A INPUT -i $WAN -p TCP -s 0/0 -d $WAN_IP --dport 8088 -j ACCEPT                      #WWW IPBOX
        $IPTABLES -t nat -A PREROUTING -i $WAN -p tcp --dport 8088 -j DNAT --to 192.168.0.4:80          #WWW IPBOX Nastaveni presmerovani
        $IPTABLES -A FORWARD -p tcp -i $WAN -d 192.168.0.4 --dport 80 -j ACCEPT                         #WWW IPBOX Povoleni presmerovani 
        #Provede presmerovani portu 8080 na port 8088
        $IPTABLES -A INPUT -i $WAN -p TCP -s 0/0 -d $WAN_IP --dport 8080 -j ACCEPT                      #WWW IPBOX NewCS
        $IPTABLES -t nat -A PREROUTING -i $WAN -p tcp --dport 8080 -j DNAT --to 192.168.0.4:8080        #WWW IPBOX NewCS Nastaveni presmerovani
        $IPTABLES -A FORWARD -p tcp -i $WAN -d 192.168.0.4 --dport 8080 -j ACCEPT                       #WWW IPBOX NewCS Povoleni presmerovani 
        # =============================================================
        # Konec presmerovavani portu                                   
        # =============================================================
                                                                                                                                                                                                                                                            
	# ICMP (Povoleni PINGu typ 8 echo , typ 11 time exeeded , typ 0 echo reply , typ destination unreacheble )
	$IPTABLES -A INPUT -i $WAN -p ICMP -s 0/0 ! --icmp-type 8 -j ACCEPT
	#$IPTABLES -A INPUT -i $WAN -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
	 
	# All packets that do not request a connection can pass 
	$IPTABLES -A INPUT -i $WAN -p TCP ! --syn -j ACCEPT			# tcp flags:!0x17/0x02
	
	# Extremni paranoia
	$IPTABLES -A INPUT -p TCP --dport 0 -j DROP
        $IPTABLES -A INPUT -p UDP --dport 0 -j DROP
	$IPTABLES -A INPUT -p TCP --sport 0 -j DROP
        $IPTABLES -A INPUT -p UDP --sport 0 -j DROP
	$IPTABLES -A FORWARD -p TCP --dport 0 -j DROP
	$IPTABLES -A FORWARD -p UDP --dport 0 -j DROP
	$IPTABLES -A FORWARD -p TCP --sport 0 -j DROP
	$IPTABLES -A FORWARD -p UDP --sport 0 -j DROP
	$IPTABLES -A OUTPUT -p TCP --dport 0 -j DROP
        $IPTABLES -A OUTPUT -p UDP --dport 0 -j DROP
        $IPTABLES -A OUTPUT -p TCP --sport 0 -j DROP
        $IPTABLES -A OUTPUT -p UDP --sport 0 -j DROP
				
	
	# ================================================================
	# Maskarada
	# ================================================================
	
	# Moduly pro ftp prenosy
	modprobe ip_conntrack_ftp
	modprobe ip_nat_ftp
	
	# Zavedeme moduly pro nestandardni cile
	modprobe ipt_LOG
	modprobe ipt_REJECT
	modprobe ipt_MASQUERADE
		
	# Presmerovani mezi sitovkama
	$IPTABLES -I FORWARD -i $WAN -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT # mezi inetem a siti
	$IPTABLES -I FORWARD -i $WAN -o $WIFI -m state --state ESTABLISHED,RELATED -j ACCEPT # mezi inetem a wifi
	$IPTABLES -I FORWARD -i $LAN -o $WIFI -m state --state ESTABLISHED,RELATED -j ACCEPT # mezi siti a wifi
	$IPTABLES -I FORWARD -i $LAN -o $WAN -j ACCEPT
	$IPTABLES -I FORWARD -i $WIFI -o $WAN -j ACCEPT
	$IPTABLES -I FORWARD -i $WIFI -o $LAN -j ACCEPT
	$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE

	# Forwarding on
        echo "1" > /proc/sys/net/ipv4/ip_forward

	# ================================================================
	
	echo "."
	;;

	
  stop)
	echo -n "Vyprazdneni iptables"
	
	# ================================================================

	# Forwarding off
	#echo "0" > /proc/sys/net/ipv4/ip_forward

	# Povoleni vseho
        $IPTABLES -P INPUT ACCEPT
        $IPTABLES -P OUTPUT ACCEPT
        $IPTABLES -P FORWARD ACCEPT

	# Vynulovani pravidel
	$IPTABLES -F
	$IPTABLES -t nat -F

	# ================================================================
	
	echo "."
	;;

	
esac

exit 0

To cele jako spustitelnej soubor nakopirovat do /etc/rc.d/init.d a vytvorit prislusne odkazy v init levelech . pak uz staci jen start stop . Skript slouzi jako navod , pro firewall staci i mensi pocet prikazu , ale je mozne sijej rozsirit i o jine vymozenosti . Jako je logovani atd...

Ubuntu server - Asus E35M1-M - AMD Hudson M1 , 2x Technisat Skystar2 , 2x 1GB Lan , WiFi mod AP ,vdr,mysql,apache2...

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Vaše jméno
Váš email
Typ požadavku

Slovní popis