( birno | 2008. 03. 12., sze – 20:15 )

Ez nehezebb lesz mint gondoltam.
Gépen belőttem faszán a tűzfalat, ment is minden, de ahogy felraktam a routerre összeomlott az egész, át kellett írni jó pár dolgot s őszintén szólva már totál belezavarodtam, hogy melyik láncon mit kell engedélyezni.
Most nagyjából minden megy, de a torrent nem hajlandó elindulni, a trackerekhez sem tud csatlakozni s nem vágom miért.
Itt a jelenlegi script, még eléggé gányolt verzió.

## otthoni t 171zfal

## el 151ször törlünk minden szabályt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

## INPUT szabályok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## engedélyezzük befele, ami t 151lünk származik.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -m limit --limit 2/min # uj kapcsolat
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -p tcp --dport ssh -m limit --limit 3/m -j LOG --log-uid --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -p tcp -s 192.168.1.2 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp -s 145.236.252.34 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp -s 212.51.124.92 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 45761 -m state --state NEW,ESTABLISHED -j ACCEPT ## router távoli elérés
iptables -A INPUT -p tcp --dport 56732 -m state --state NEW,ESTABLISHED -j ACCEPT ## VNC
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT ## kintr 151l "ping" mehet.
iptables -A INPUT -p tcp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p udp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p tcp -d kiszolgalo -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A INPUT -p udp --dport 68 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -j LOG --log-uid --log-prefix "INPUT_DROP: "
iptables -A INPUT -j DROP

## OUTPUT szabályok.
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A OUTPUT -p tcp -d 192.168.1.2 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A OUTPUT -j LOG --log-uid --log-prefix "OUTPUT_DROP: "
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A FORWARD -p udp --dport 53 -j ACCEPT ## a DNS -re szükség van.
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 123 -j ACCEPT ## ntp mehet
iptables -A FORWARD -p tcp --dport 123 -m state --state NEW -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ## http mehet.
iptables -A FORWARD -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT ## https mehet
iptables -A FORWARD -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ## ssh mehet.
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp control mehet
iptables -A FORWARD -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp data mehet
iptables -A FORWARD -p tcp -d kiszolgalo -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A FORWARD -p tcp --dport 43 -m state --state NEW,ESTABLISHED -j ACCEPT ## whois
iptables -A FORWARD -p tcp -d mail.chello.hu --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés SMTP
iptables -A FORWARD -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés IMAP4s

iptables -A FORWARD -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT ## msn
iptables -A FORWARD -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT ## irc
iptables -A FORWARD -p tcp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A FORWARD -p udp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A FORWARD -p tcp --dport 2710 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent trackerek
iptables -A FORWARD -p udp --dport 2710 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent trackerek
iptables -A FORWARD -j LOG --log-uid --log-prefix "FORWARD_DROP: "
iptables -A FORWARD -j DROP

Ha jól értelmeztem akkor minden a gépemtől érkező kapcsolatot engedélyezni kell, mert a routernek az INPUT-nak számít, amiket aztán a forward láncon továbbít a külvilágnak.
Az OUTPUT láncot csak akkor használja ha ő maga kezdeményez kapcsolatot a gépem vagy a külvilág felé.
Ez így stimmel?
Natolásra kellene nekem figyelni a tűzfal szintjén vagy azt a router elvégzi magától?