Re: iptables, ftp itd.
Dnia Tue, Jun 10, 2003 at 10:26:13AM +0200 zeben napisał/a:
> witam!
>
> mam pytanko do fachowcow, mianowcie z wiadomosci na internecie zrobilem sobie firewalla na iptables. jednak cos jest chyba zle bo nie da sie polaczyc z sieci wew na ftp w internecie. mam dwie karty sieciowe eth0 to internet, oto moje ustawienia:
>
> /sbin/depmod -a
> /sbin/modprobe iptable_nat
> /sbin/modprobe iptable_filter
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_REDIRECT
> /sbin/modprobe ipt_MASQUERADE
> /sbin/modprobe ipt_LOG
> iptables -F -t nat
> iptables -F
> iptables -I FORWARD -s 10.0.0.0 -j DROP
> iptables -I INPUT -s 10.0.0.0 -j DROP
> iptables -I OUTPUT -s 10.0.0.0 -j DROP
zamiast tego policy DROP
> iptables -I FORWARD -s 10.0.0.0 -j REJECT
> iptables -I INPUT -s 10.0.0.0 -j REJECT
> iptables -I OUTPUT -s 10.0.0.0 -j REJECT
powyzsze do /dev/null
> iptables -I FORWARD -s 10.0.30.1 -j ACCEPT
> iptables -I INPUT -s 10.0.30.1 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.1 -j ACCEPT
> iptables -I FORWARD -s 10.0.30.2 -j ACCEPT
> iptables -I INPUT -s 10.0.30.2 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.2 -j ACCEPT
to głupie!
otwieraj tylko to co musisz tym co musisz.
iptables -I INPUT -s 10.0.30.1 -p tcp 22 -i eth0 -j ACCEPT
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 411 -j DROP
>
> iptables -t nat -A POSTROUTING -s 10.0.30.1 -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 10.0.30.2 -o eth0 -j MASQUERADE
uzywasz dial-up'a? jesli nie to -j SNAT --to-source 10.0....
> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
> iptables -A PREROUTING -t nat -p udp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
nie rozumiem, ale bym sie wpienil jakbym byl userem w twojej sieci i tak
bys mi przyciął wyjście na świat...
> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
to już było ^
> iptables -A OUTPUT -p tcp -s 10.0.0.0/24 -o eth1 --sport 1214:1215 -j DROP
>
> iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
> echo 1 > /proc/sys/net/ipv4/ip_forward
to wrzuciłbym na początek ;)
> aha mam jeszcze broplem ze squidem, ustawienie standardowe tylko zwiekszoen miejsce na dysku, i ram, tworza sie katalogi cachowe odpalam squida i nic. nie zapisuje sie nic na dasku...
przeczytaj man, zmien konfiguracje
... tnij wiersze, przczytaj http://rtfm.bsdzine.org/, czytaj archiwum listy
i używaj google. (zaraz dostanie Ci się pewnie za teg maila od nnych)
pozdro
yanek
--
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
Reply to: