Dotaz: Nastavení IPTABLES...něco špatně?

nevím jestli mám správně nastavený firewall na debianu (kernel 2.6.8)

očekávám od routru, aby omezil z venku vše krom ssh, z LAN nechci mit zadne omezeni.

Ale stalo se mi, když jsem testoval z internetu server, se mi pripojil samba disk a pritom to bylo z venkovni eth0, co je za problem? omezil jsem proto sambu na vnitrni adresy 192.168.1., to to řeší, ale asi je stejně něco špatně, že to vůbec prošlo firewallem?

(eth1=LAN,eth0=INTERNET)

nastaveni mám uložene ve skriptu v /etc/int.d/firewall.sh a spouštím v run levelech 2,3, 5,

pro LAN mam dhcp a routovani funguje normalne

moje nastaveni iptables:

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

echo Setting Firewall

# smazani pravidel
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# loopback
iptables -A INPUT -i lo -j ACCEPT

#povoleni established spojeni
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# all from LAN 
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Masquerade - preklad adres
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#zakazani z venku 
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

#ssh ze vsech IP
iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 22 -j ACCEPT

echo Done..

kdyz jsem proskenoval porty z venku:

TCP: 192.168.2.127 [9-discard]
TCP: 192.168.2.127 [13-daytime] | Thu May  4 15:05:44 2006
TCP: 192.168.2.127 [21-ftp]
TCP: 192.168.2.127 [22-ssh]
TCP: 192.168.2.127 [25-smtp]
TCP: 192.168.2.127 [37-time] |
TCP: 192.168.2.127 [53-domain]
TCP: 192.168.2.127 [79-finger]
TCP: 192.168.2.127 [111-sunrpc]
TCP: 192.168.2.127 [113-auth]
TCP: 192.168.2.127 [139-netbios-ssn]
TCP: 192.168.2.127 [143-imap]
TCP: 192.168.2.127 [220-imap3]
TCP: 192.168.2.127 [445-microsoft-ds]
TCP: 192.168.2.127 [938]

jsem linux začátečník, tak děkuju za všechny rady.Hany

ještě doplnění: samba disk se mi připojil na oknech z venkovní eth0 misto aby byl přístupný pouze z eth1!

Například kde máš nastavení základních pravidel ?

Něco jako:

# Firevall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

pokud tam to máš povolené vše projde.

Toto je nesmysl navázaná spojení potřebuješ povolit obouma směry většinou ne ?

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

takže přepsat

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Dále

#zakazani z venku iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Toto je nesmysl forward je zakázán pomocí pravidla /sbin/iptables -P FORWARD DROP takže vypustit.

jinak není ošetřen port 113 atd.....

PS. Skuste se inspirovat a něco si pohledat příkladů je zde hodně.

Drobná rada: Používej na názvy síťovek proměnné. Je to přehlednější a při změně HW se to lépe upravuje.