Sziasztok! Egyszerű kérdésem lenne a DNS-sel kapcsolatban: DNS szerver üzemel a gépen, a helyi háló felől engedve van a használata, meg elvileg kifele is tud menni a szerver (DNS) Ez így megfelelő? Tehát frissülni fog a szerverem?
Meg ha véletlen valakinet az ideje engedné, akkor átnéznétek, hogy jó-e?
Az egyéb védelmeket, még eztuán teszem be.
### DEKLARACIO ###
NET="eth0"
LAN="eth1"
NETIP="xxx.xxx.xxx.xxx"
LANIP="192.168.1.150"
IPT="/sbin/iptables"
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -F
$IPT -X
$IPT -Z
$IPT -F -t nat
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i $LAN -p tcp --destination-port 22 -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $NET -p tcp --destination-port 22 -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $LAN -p tcp --destination-port 3128 -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $LAN -p udp --destination-port 53 -m state --state NEW -j ACCEPT
# tesztelés miatt egy darabig engedem pinget
$IPT -A INPUT -i $LAN -p icmp --icmp-type echo-request -j ACCEPT
$IPT -A INPUT -i $NET -p icmp --icmp-type echo-request -j ACCEPT
$IPT -A OUTPUT -o $NET -p icmp --icmp-type echo-request -j ACCEPT
$IPT -A OUTPUT -o $NET -p udp --destination-port 123 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $NET -p tcp --destination-port 80 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $NET -p tcp --destination-port 443 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $NET -p udp --destination-port 53 -m state --state NEW -j ACCEPT
# mail2.maxer.hu-ra ki tudjanak menni a gépek
$IPT -A FORWARD -p tcp --destination-port 110 -j ACCEPT
$IPT -A FORWARD -p tcp --destination-port 587 -j ACCEPT
$IPT -t nat -A POSTROUTING -p tcp -o $NET -s 192.168.1.0/24 -d 87.229.26.163 -j SNAT --to-source $NETIP --dport 110
$IPT -t nat -A POSTROUTING -p tcp -o $NET -s 192.168.1.0/24 -d 87.229.26.163 -j SNAT --to-source $NETIP --dport 587
- 659 megtekintés
Hozzászólások
Az INPUT és OUTPUT láncba még érdemes felvenni a DNS-t TCP-vel is, mert bár ritkán, de vannak esetek, amikor TCP-n kommunikál.
A tűzfal jónak tűnik, ha a belső gépekről a mailszerveren kívül nem szeretnél mást külső hostot elérni.
- A hozzászóláshoz be kell jelentkezni
[törölve]
- A hozzászóláshoz be kell jelentkezni
UDP-nél minek kell a state NEW?
man iptables:
"NEW meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions"
illetve
"ESTABLISHED meaning that the packet is associated with a connection which has seen packets in both directions"
Azaz nem teljesen felesleges, így ha 53-as portról küldesz a tűzfal felé csomagot úgy, hogy a DNS-kérés nem arról a gépről jött (spoofing), akkor a tűzfal ezt eldobja. A választ az ESTABLISHED kezeli.
- A hozzászóláshoz be kell jelentkezni
Igen, tudom, utána leesett, töröltem is.
Bocsi.
-
budacsik
- A hozzászóláshoz be kell jelentkezni
igen mert a netet a proxyn keresztül adom
- A hozzászóláshoz be kell jelentkezni