Re: firewall
Łukasz Wójcik napisał(a):
Witam,
mam taki skrypt firewall'a uruchomiony.
i w momencie kiedy mam 2 ostatnie linijki aktywne, to komputery z
profilami mobilnym, na których loguję się do serwera samby (to ten sam
komputer na którym jest firewall) są strasznie zamulone, klient poczty
thunderbird, nie potrafi wysłać poczty, ale ją bezproblemu odbiera,
strony www działają normalnie.
jak mogę rozbudować ten firewall aby cały świat zewnętrzny mnie nie
widział, jedyne możliwe połączenie było dla ssh ale cały lokal działał ok.
dzięki wielkie za wszelkie odpowiedzi różniące się od MAN IPTABLES
a jednak man iptables:
poszukaj haseł:
established, related, tcp-reset
#wejscie
/sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -t filter -A INPUT -s ! 192.168.0.0/255.255.255.0 -j DROP
^^^^^^^^^^^^^^^^^^^^
Lepszym pomysłem jest:
/sbin/iptables -P INPUT DROP
## TCP-RESET może pomóc...choć nie musi.
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 113 -d x.x.x.x \
--syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
## a problem jest pewnie w tym miejscu:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Choć przemśl, czy dobrym pomysłem jest wpuszczanie całegu ruchu z lanu.
Przemyśl postawienie ssh na innym porcie niż standardowy, będziesz
miał w logach mniej śmieci.
/yanek
Reply to:
- References:
- firewall
- From: Łukasz Wójcik <whateva@interia.pl>