Witam, mam taki skrypt firewall'a uruchomiony.
[...]
Twój firewall wskazuje, że nie rozumiesz działania iptables i firewall'a. Dlaczego tak sądzę??!!??
1. Na ogół definicję ściany ogniowej zaczynasz od definicji polityk domyślnych (iptables -P łańcuch polityka) i na ogół wszystko jest blokowane. Sprowadza się to więc do zapisu:
iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -P INPUT DROP
Wygodniej ochronić się blokując domyślnie wszystko i odblokowując tylko to co niezbędne ;)
2. Odblokować trzeba odblokować transmisję na systemowym interfac'ie lo:
iptables -I OUTPUT -o lo -j ACCEPT iptables -I INPUT -i lo -j ACCEPT
3. Nie zdefiniowałeś co zrobić transmisją już nawiązaną:
iptables -A łańcuch -m state --state ESTABLISHED,RELATED -j polityka
na ogół:
iptables -P OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
4. Maskarada składa się de facto z przynajmniej dwóch definicji: - w tabeli filter:
iptables -A FORWARD -s ip_source -p tcp --dport port_dsc -j ACCEPT
i jeśli nie mapujesz portów zewnętrznych nie masz co definiować, jak to nazwałeś, 'świat do mnie'.
- w tabli nat
iptables -t nat -A POSTROUTING -s ip_source -j MASQUERADE
Nie rozumiem dlaczego zezwalasz na transfer na tak dziwnych portach.
5. Musisz zdefiniować przynajmniej dwie pozycje dla łańcucha INPUT definiujące na których portach można 'wejść na serwer'..
- Dla klientów z sieci lokalnej.
iptables -A INPUT -s ip_source -p tcp --dport port -j ACCEPT
- Dla klientów z internetu.
iptables -A INPUT (-s ip_source | i eth_in) -p tcp --dport port -j ACCEPT
6. Wypadałoby też zdefiniować jakie usługi są osiągalne z serwera na zewnątrz.
iptables -A OUTPUT -p tcp --dport port -j ACCEPT
Podany powyżej algorytm jest bardzo ogólnikowy i nie jest 'jedynie słusznym rozwiązaniem'. Jest wiele sposobów na poprawne zabezpieczenie się przed intruzami. Nie wspomniałem tu o wielu ważnych rzeczach (udp, icmp, ...). Mogłem też popełnić kilka literówek.
Powodzenia i czytaj, szukaj, szukaj, czytaj ;).
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]