Tűzfal probléma Debianban

Linux-kezdő

Sziasztok!
Még ismerkedem a Debiannal, de sztm nem magával a disztóval van a gond hanem a tűzfalban amit viszont én csináltam.
Amit tudni kell, a Debian szerveren csak egy portfix, solid-pop3d
és ssh szolgáltatás fut. Egyik se megy, csak a netmegosztás :(

Szerk: bocsesz, megoldodott, de azért vélemyényt alkotnátok róla? :)

server:/home/budacsik# cat /root/bin/firewall.sh
#!/bin/bash

#echo "Start Debian firewall input and output filter..."

# lancok alaphelyzetbe allitasa
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -N in_attack
iptables -N drop_icmp

#---------------------------INPUT-------------------------------
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p icmp -i eth1 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j drop_icmp
iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW -j drop_icmp

iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.0/8 -j DROP

# samba engedese
#iptables -A INPUT -i eth1 -p udp --sport 137 --dport 137 -j ACCEPT
#iptables -A INPUT -i eth1 -p udp --sport 138 --dport 138 -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp --dport 445 -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT

# LAN felol a 80-as port engedese
#iptables -A INPUT -i $LAN -p tcp --dport 80 -j ACCEPT

# gyanus csomagok eldobasa
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j in_attack
iptables -A INPUT -i eth0 -s 172.16.0.0/16 -j in_attack
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j in_attack
iptables -A INPUT -i eth1 -s ! 192.168.2.0/24 -j in_attack

# ssh beengedese csak LAN felol
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

# smtp es pop3 keresek beengedese
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 25,110 -j ACCEPT

# minden mas eldobasa elotte loggolasa
iptables -A INPUT -j LOG --log-prefix "tiltott_bejovo_kapcsolat: "
iptables -A INPUT -j DROP

#-------------------------OUTPUT--------------------------------
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -d 255.255.255.255 -j DROP
iptables -A OUTPUT -d 224.0.0.0/8 -j DROP

iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# minden mas tiltva lesz
iptables -A OUTPUT -j LOG --log-prefix "DROP_OUT_PACK: "
iptables -A OUTPUT -j DROP

#--------------------in_attack-------------------------------

iptables -A in_attack -j LOG --log-prefix "in_attack: "
iptables -A in_attack -j DROP

#--------------------accept_icmp---------------------------------
iptables -A drop_icmp -j LOG --log-prefix "kitiltott_ping: "
iptables -A drop_icmp -j DROP

#------------------------------------------------------------
#----ezek akkor lesznek Ervenyesek ha lesz belso halozat-----
#------------------------------------------------------------
# NAT letrehozasa
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE

# Syn-flood vedelem:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Alattomos portscan elleni vedelem:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# A halal pingje elleni vedelem:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# FORWARD beallitasa
# ---------------kifele-----------------
# Eloszor a LAN-rol kifele menoket
# ervenytelen csomagokat eldobjuk
iptables -A FORWARD -i eth1 -m state --state INVALID -j DROP

# a kiepitett kapcsolatokat kiengedjuk
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# portok engedese LAN-rol kifele
# ftp, ftp-data, ssh, stp, fttp, pop3, https es udp 53
iptables -A FORWARD -i eth1 -p tcp -m multiport --dport 20,21,22,25,80,110,443 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT

# ---------------befele-----------------

# a mar kiepitett kapcsolatokat be(at)engedjuk
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# minden mas loggolva lesz
iptables -A FORWARD -j LOG --log-prefix "DROP_forward_PACK: "
iptables -A FORWARD -j DROP

1113 megtekintés

Friss hozzászólások

Mi a véleményed a 13-asról? 2025-09-15T15:26:57+0200
Mióta kurvul el a linux,… 2025-09-15T15:25:37+0200
Kérlek írd már le, hogy az… 2025-09-15T15:23:57+0200
Napi 6 millió alatt nem is… 2025-09-15T15:13:31+0200
Strómannal természetesen… 2025-09-15T15:10:14+0200
Tehát egy nagyon szar… 2025-09-15T15:08:15+0200
Ne röhögtesd már ki magad. 1… 2025-09-15T15:06:35+0200
Neked nem tanították, hogy… 2025-09-15T15:03:07+0200
Az IMF-hitel kérdése a… 2025-09-15T15:00:33+0200
"Eredményeink szerint… 2025-09-15T14:59:29+0200