ipchains a prichozi konexe

Nathan L. Cutler livingston na mbox.dkm.cz
Neděle Září 3 21:52:09 CEST 2000


On Sun, Sep 03, 2000 at 09:18:23PM +0200, Miroslav Pragl wrote:
> Mam dotaz:
> je mozne pres ipchains zakazat prichozi konexe na VSECHNY tcp porty krome
> dejmetomu ftp,ssh a http?

ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
http lze zhruba takto:

ipchains -A input -p TCP --dport ftp -y -j ACCEPT   # povolit prichozi ftp
ipchains -A input -p TCP --dport ssh -y -j ACCEPT   # povolit prichozi ssh
ipchains -A input -p TCP --dport http -y -j ACCEPT  # povolit prichozi http
ipchains -A input -p TCP -y -j DENY		  # zakazat ostatni prichozi

Vsimnete si, ze na poradi uvedenych prikazu _zalezi_. Nekde budete mit
"firewall script", v kterem bude serie prikazu ipchains ("rules").
Kazdy packet projde touto serii pravidel az narazi na nejake, jehoz
podminka splnuje. V tu ranu prijde na radu akce, uvedena v prikazu (ACCEPT,
DENY, REJECT atd.). Dal v retezi pravidel packet nedojde - uz je vyrizen. 

Vyse uvedene prikazy maji slouzit pouze jako priklad (a podnet k diskusi
;-), pricemz samozrejme plati, ze musite vlastni konfiguraci radne
otestovat ve vasich konkretnich podminkach. 

<ASIDE>
Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-( 
</ASIDE>

-- 
Nathan L. Cutler < livingston @ mbox.dkm.cz >    telephone: +420-2-51611648
Livingston Professional Translations		 fax:       +420-2-6514377
** When "pretty good" is not enough **           mobile:    +420-602-259964


Další informace o konferenci Linux