Sziasztok!
Nem nyitok külön topicot, gondolom passzol a témához.
Problémám: Amint DROP-ra állitom az OUTPUT láncot, hiába engedem ki az ntpdate-t, nem akar szinkronizálni. netstat -alpn-el megnéztem, azt a portot is beirtam de nem megy. Kernelben van ipv6 támogatás, de ipv4-es szerverrel is ugyanez a gond. Milyen ötletek van? Ill. ha kicsit debugolnátok, hogy jó lesz-e igy, külön megköszönném:)
Ime a tűzfal script:
#!/bin/bash
iptables -F
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#####################
## INPUT szabályok ##
#####################
#engedelyezzuk befele, ami tolunk szarmazik
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#-------------------------------------------------------------
#DoS elleni védelem
------------------------
#portscan elleni vedelem
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#ping-flood elleni vedelem
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#tiltas MS portoknak
iptables -A INPUT -i eth0 -p TCP --dport 135 -j DROP
iptables -A INPUT -i eth0 -p TCP --dport 139 -j DROP
iptables -A INPUT -i eth0 -p TCP --sport 135 -j DROP
iptables -A INPUT -i eth0 -p TCP --sport 139 -j DROP
#--------------------------------------------------------------
#Loopback
iptables -A INPUT -i lo -j ACCEPT
#DNS
#iptables -A INPUT -i eth0 -p UDP --sport 53 -j ACCEPT
#iptables -A INPUT -i eth0 -p TCP --sport 53 -j ACCEPT
#NS SERVERRE becsatlakozas(ha nameserverkent akarjak hasznalni a serverunket:))
iptables -A INPUT -i eth0 -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 53 -j ACCEPT
#SSH SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 22 -s 10.2.25.2 -j ACCEPT
#FTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 21 -j ACCEPT
#POP3 SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 110 -j ACCEPT
#SMTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 25 -j ACCEPT
#IMAP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 143 -j ACCEPT
#HTTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
#HTTPS SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 443 -j ACCEPT
#ICMP(ping) befele
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A INPUT -i eth0 -p ICMP --icmp-type ! echo-request -j ACCEPT
#maradek eldobasa
iptables -A INPUT -i eth0 -j DROP
######################
## OUTPUT szabályok ##
######################
## jóváhagyott kapcsolatok engedélyezése
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#iptables -A OUTPUT -o eth0 -j ACCEPT
#DNS kifele(localrol inditva)
iptables -A OUTPUT -o eth0 -p TCP --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --dport 53 -m state --state NEW -j ACCEPT
#ICMP(ping) kifele
iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT --icmp-type echo-request
#Kulso serverek elerese#
#======================#
#Kulso SSH-ra KI
iptables -A OUTPUT -o eth0 -p TCP --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#Kulso FTP-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
#Kulso HTTP-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#Kulso HTTPS-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#NTP date
iptables -A OUTPUT -d 148.6.0.1 -o eth0 -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT