Üdv! Az a kérdésem, hogy egy teljesen egyszerű tűzfalat szeretnék tenni webservernek. Csak akkor működik, ha az OUTPUT láncot is engedem. De én le szeretném zárni, vagy nem is kell? Elég az INPUTOT szűrni? Mit kell kiengedni az OUTPUTon hogy elérhető legyen a webserver?
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTOUT DROP #ha ACCEPT akkor műxik, de így nem... :(
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- 1096 megtekintés
Hozzászólások
"Csak akkor működik, ha az OUTPUT láncot is engedem. "
Ez teljesen logikus. Ha nem engedsz ki semmi csomagot, akkor hiába jön be kérés, válasz nem tud visszamenni.
"Mit kell kiengedni az OUTPUTon hogy elérhető legyen a webserver?"
Minden olyan szolgáltatáshoz (porthoz) tartozó csomagot, amit használni szeretnél.
pl. webszervernél a 80-as portról kiinduló csomagokat. Ugyanígy egyéb szolgáltatásokat (ssh,DNS, stb) is célszerű engedni.
- A hozzászóláshoz be kell jelentkezni
szerintem leginkább attól függ mit szeretnél elérni, mi a célod a géppel. a befele jövő forgalmát akarod korlátozni, vagy azt akarod, hogy kifele ne tudjon kommunikálni? ha befele csak a webes forgalmat engeded, akkor kifele "tök mind1 mi mehet", mert az csak te kéne, hogy legyél. ergo sztem kifele engedd nyugodtan. remélem kijavítanak az okosabbak, ha szükséges :) befele meg szűr, ahogy akarod, ahogy kell.
--
xterm
- A hozzászóláshoz be kell jelentkezni
még egy ftp szervert akarok ezen kívül engedni, gondolom akkor az INPUTNÁL engedem az outputot meg akkor ACCEPTRE állítom. Esetleg arra van lehetőség, hogy 2/2M legyen a sávszélesség korlát?
- A hozzászóláshoz be kell jelentkezni
igen, de ftp-re figyelj, azt egy kicsit macerásabb átereszteni a tűzfalon, oda nem elég csak egy port beengedése! a sávszélkorláttal kapcsolatban pedig érdemesebb esetleg magát az ftp-szervert nyaggatni. azoknak vannak ilyen irányú erőforrásaik. ha mindenestül a gépen a forgalmat akarod korlátozni, akkor arra is van mód, de az más program. talán valamilyen shaper a program neve...
--
xterm
- A hozzászóláshoz be kell jelentkezni
Az OUTPUT lánc mint nevéből is adódik kimenő forgalmat jelenti. Ha a kimenő forgalmat nem egeded...
- A hozzászóláshoz be kell jelentkezni
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
-
budacsik
- A hozzászóláshoz be kell jelentkezni
Most meg olyan hiba van, hogy a ftpn csatlakozom, akkor bejelentkezik, de nem olvassa a könyvtárat, azaz megáll az ablak mintha lefagyott volna. Pedig engedtem mind a két portot befelé. Ez mitől lehet.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain
- A hozzászóláshoz be kell jelentkezni
kell egy ilyen sor az elejére
modprobe ip_conntrack_ftp
- A hozzászóláshoz be kell jelentkezni