Adott egy desktop gép amiből lehet hogy nagyon pici ftp szerver is lesz (pár ember fogja letölteni az előadások hanganyaágát ogg filek), ez lenne atűzfala mennyire jó? Életem első tűzfala szóbval cak összeollóztam a neten található tutorialokból. Értem mit csinál. De jól csinálom?
## modulok betöltése
insmod ip_conntrack
insmod ip_conntrack_ftp
## Külső kapcsolat tílt6ás bentről engedélyez
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
## Ugrás erre a láncra az INPUT és a FORWARD láncból.
iptables -A INPUT -j block
iptables -A FORWARD -j block
## Ha akarok sambat akkor még ezt bekapcsaolom:
# iptables -A INPUT -p udp -m multiport --dport 137,138 -j ACCEPT
# iptables-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
# Ha akarok ftpt akkor még ezt beapcsolaom
#iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
- 837 megtekintés
Hozzászólások
Simán az alap input es forward policy legyen drop. Opcionálisan kifelé is lehet drop. Minden beeresztettre portra érdemes egy chaint vagy szabályt létrehozni. A established,related pedig csak az input chainre kell és mellé pedig egy-egy szabály azokra amiket be akarsz ereszteni hogy a syn csomagokat beereszd.
- A hozzászóláshoz be kell jelentkezni
Ezt még annyira nem vágom. Írnál egy példát? Ez így nem működne?
- A hozzászóláshoz be kell jelentkezni
$IPTABLES=`which iptables`
$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
__________________________________________________________
Az életben csak egy dolog a szép, de az épp nem jut eszembe.
- A hozzászóláshoz be kell jelentkezni