Re: ipmasq + port filtering recipe?
On Fri, Mar 15, 2002 at 05:11:37PM -0500, Luke Scharf wrote:
> I've apt-get install'd the ipmasq package and the IPMasq functionality
> works great. What I'd like to do now is to use ipchains to do the
> following:
> 1. On the external interface, I would like to only accept traffic from
> port 22 and port 80.
Here's what I did for DNS(ISP and Root Servers in Binds hints), NTP,
iand SSH;
(SSH only uses protocol 2, and pubkeyauthentication)
Copy I90external.def to I90external.rul
Add these lines;
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.100 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.100 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.8.100 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.8.100 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.8.10.90 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.8.10.90 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.4 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.4 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.63.2.53 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.63.2.53 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.33.4.12 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.33.4.12 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.112.36.4 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.112.36.4 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.5.5.241 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.5.5.241 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.9.0.107 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 128.9.0.107 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.10 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.41.0.10 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 193.0.14.129 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 193.0.14.129 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.32.64.12 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 198.32.64.12 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 202.12.27.33 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 202.12.27.33 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.36.148.17 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.36.148.17 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.203.230.10 53 -d $IPOFIF/32 -p tcp
$IPCHAINS -A input -j ACCEPT -i $i -s 192.203.230.10 53 -d $IPOFIF/32 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 158.43.128.33 123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 194.168.4.76 123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -s 80.0.159.1 123 -d $IPOFIF/32 123 -p udp
$IPCHAINS -A input -j ACCEPT -i $i -d $IPOFIF/32 22 -p tcp -l
$IPCHAINS -A input -j ACCEPT -i $i -d $IPOFIF/32 22 -p udp -l
$IPCHAINS -A input -j ACCEPT -i $i --destination-port 1025: -p tcp
$IPCHAINS -A input -j ACCEPT -i $i --destination-port 1025: -p udp
$IPCHAINS -A input -j DENY -i $i -d $IPOFIF/32 1:1024 -p tcp -l
$IPCHAINS -A input -j DENY -i $i -d $IPOFIF/32 1:1024 -p udp -l
> 2. The internal interface should be wide open - the internal network we
> trust the users who are physically in the room not to be malicious.
>
This is the default behavior of IPMasq.
HTH, Simon
Reply to: