Üdv!
Így nézne ki a módosított tűzfalkonfigom:
#!/bin/bash
#----------------------------------------------------------------------------------#
# A láncok alaphelyzetbe állítása #
#----------------------------------------------------------------------------------#
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -N in_attack
iptables -N drop_icmp
#----------------------------------------------------------------------------------#
# INPUT lánc szabályai: #
#----------------------------------------------------------------------------------#
#lo interface mehet
iptables -A INPUT -i lo -j ACCEPT
#Meglévő és kapcsolódó folyamatokat engedélyezi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ping
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j drop_icmp
iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW -j drop_icmp
#Gyanus csomagok eldobása
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j in_attack
iptables -A INPUT -i eth0 -s 172.16.0.0/16 -j in_attack
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j in_attack
#SSH engedése a megadott tartományról + loggolás
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Bejövő SSH kapcsolat: "
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -j ACCEPT
#dns
iptables -A INPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT
#Winfos ellen:
iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT
#Minden más bejövő eldobása és loggolása:
iptables -A INPUT -j LOG --log-prefix "Tíltott bejövő kapcsolat: "
iptables -A INPUT -j DROP
#----------------------------------------------------------------------------------#
# OUTPUT lánc szabályai: #
#----------------------------------------------------------------------------------#
#lo interface mehet
iptables -A OUTPUT -o lo -j ACCEPT
#Meglévő, új és a kapcsolódó folyamatokat engedélyezi
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 20 -m state --state NEW,RELATED -j ACCEPT
#dns
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT
#http
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -m state --state NEW,RELATED -j ACCEPT
#smtp
iptables -A OUTPUT -p udp --dport 25 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,RELATED -j ACCEPT
#Minden más loggolva lesz
iptables -A OUTPUT -j LOG --log-prefix "Eldobott kimenő kapcsolat: "
iptables -A OUTPUT -j DROP
#droped icmp
iptables -A drop_icmp -j LOG --log-prefix "Kitíltott ping: "
iptables -A drop_icmp -j DROP
-------------------------------------------------------------------------------------------------------
Beletettem a windows-os portokat, amikhez próbál kapcsolódni:
#iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
#iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT
Sztem vmi gond van még vele,mivel még mindig kapom a Tíltott bejövő kapcsolatos logokat a képernyőre a tartományunkból!!!
A DNS szerver 6-7 saját domain-t fog kezelni és természetesen saját ügyfeleink részére cachelni is fog!
Nagyjából teljes lenne így (szvsz), még a loggolással fogok szenvedni,h külön fájlba szedje a dolgokat!
Mit szóltok hozzá?