Re: iptables, ftp itd.

To: DebPL <debian-user-polish@lists.debian.org>
Subject: Re: iptables, ftp itd.
From: Andrzej Dalasinski <yanek@kis.p.lodz.pl>
Date: Tue, 10 Jun 2003 12:15:01 +0200
Message-id: <[🔎] 20030610101501.GB20021@ocelotl.eu.org>
Mail-followup-to: DebPL <debian-user-polish@lists.debian.org>
Reply-to: yanek@kis.p.lodz.pl
In-reply-to: <[🔎] 001001c32f29$f5820790$011e000a@zeben>
References: <[🔎] 001001c32f29$f5820790$011e000a@zeben>

Dnia Tue, Jun 10, 2003 at 10:26:13AM +0200 zeben napisał/a:
> witam!
> 
> mam pytanko do fachowcow, mianowcie z wiadomosci na internecie zrobilem sobie firewalla na iptables. jednak cos jest chyba zle bo nie da sie polaczyc z sieci wew na ftp w internecie. mam dwie karty sieciowe eth0 to internet, oto moje ustawienia:
> 
> /sbin/depmod -a
> /sbin/modprobe iptable_nat
> /sbin/modprobe iptable_filter
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_REDIRECT
> /sbin/modprobe ipt_MASQUERADE
> /sbin/modprobe ipt_LOG
> iptables -F -t nat
> iptables -F 

> iptables -I FORWARD -s 10.0.0.0 -j DROP
> iptables -I INPUT -s 10.0.0.0 -j DROP
> iptables -I OUTPUT -s 10.0.0.0 -j DROP
zamiast tego policy DROP

> iptables -I FORWARD -s 10.0.0.0 -j REJECT
> iptables -I INPUT -s 10.0.0.0 -j REJECT
> iptables -I OUTPUT -s 10.0.0.0 -j REJECT
powyzsze do /dev/null

> iptables -I FORWARD -s 10.0.30.1 -j ACCEPT
> iptables -I INPUT -s 10.0.30.1 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.1 -j ACCEPT
> iptables -I FORWARD -s 10.0.30.2 -j ACCEPT
> iptables -I INPUT -s 10.0.30.2 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.2 -j ACCEPT 
to głupie!
otwieraj tylko to co musisz tym co musisz.
iptables -I INPUT -s 10.0.30.1 -p tcp 22 -i eth0 -j ACCEPT

> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 
> 
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 411 -j DROP 
> 
> iptables -t nat -A POSTROUTING -s 10.0.30.1 -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 10.0.30.2 -o eth0 -j MASQUERADE
uzywasz dial-up'a? jesli nie to -j SNAT --to-source 10.0....

> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
> iptables -A PREROUTING -t nat -p udp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
nie rozumiem, ale bym sie wpienil jakbym byl userem w twojej sieci i tak 
bys mi przyciął wyjście na świat...
> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
to już było ^
> iptables -A OUTPUT -p tcp -s 10.0.0.0/24 -o eth1 --sport 1214:1215 -j DROP
> 
> iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
> echo 1 > /proc/sys/net/ipv4/ip_forward
to wrzuciłbym na początek ;)

> aha mam jeszcze broplem ze squidem, ustawienie standardowe tylko zwiekszoen miejsce na dysku, i ram, tworza sie katalogi cachowe odpalam squida i nic. nie zapisuje sie nic na dasku... 
przeczytaj man, zmien konfiguracje
... tnij wiersze, przczytaj http://rtfm.bsdzine.org/, czytaj archiwum listy
i używaj google. (zaraz dostanie Ci się pewnie za teg maila od nnych)

pozdro
yanek
-- 
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
  Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)

Reply to:

References:
- iptables, ftp itd.
  - From: "zeben" <zeben@interia.pl>

Prev by Date: iptables, ftp itd.
Next by Date: shutdown i zwykly uzytkownik
Previous by thread: iptables, ftp itd.
Next by thread: Re: iptables, ftp itd.
Index(es):
- Date
- Thread