ipchains a prichozi konexe
Nathan L. Cutler
livingston na mbox.dkm.cz
Neděle Září 3 21:52:09 CEST 2000
On Sun, Sep 03, 2000 at 09:18:23PM +0200, Miroslav Pragl wrote:
> Mam dotaz:
> je mozne pres ipchains zakazat prichozi konexe na VSECHNY tcp porty krome
> dejmetomu ftp,ssh a http?
ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
http lze zhruba takto:
ipchains -A input -p TCP --dport ftp -y -j ACCEPT # povolit prichozi ftp
ipchains -A input -p TCP --dport ssh -y -j ACCEPT # povolit prichozi ssh
ipchains -A input -p TCP --dport http -y -j ACCEPT # povolit prichozi http
ipchains -A input -p TCP -y -j DENY # zakazat ostatni prichozi
Vsimnete si, ze na poradi uvedenych prikazu _zalezi_. Nekde budete mit
"firewall script", v kterem bude serie prikazu ipchains ("rules").
Kazdy packet projde touto serii pravidel az narazi na nejake, jehoz
podminka splnuje. V tu ranu prijde na radu akce, uvedena v prikazu (ACCEPT,
DENY, REJECT atd.). Dal v retezi pravidel packet nedojde - uz je vyrizen.
Vyse uvedene prikazy maji slouzit pouze jako priklad (a podnet k diskusi
;-), pricemz samozrejme plati, ze musite vlastni konfiguraci radne
otestovat ve vasich konkretnich podminkach.
<ASIDE>
Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-(
</ASIDE>
--
Nathan L. Cutler < livingston @ mbox.dkm.cz > telephone: +420-2-51611648
Livingston Professional Translations fax: +420-2-6514377
** When "pretty good" is not enough ** mobile: +420-602-259964
Další informace o konferenci Linux