Re: (Utok ? (Žádný nebyl)) Porty www stránek
Petr Šobáň
soban na centrum.cz
Sobota Prosinec 1 11:21:15 CET 2001
On Fri, 30 Nov 2001, Dalibor Toman wrote:
> >
> > Podle vás třeba povolit 80 až 8888 :-(((((
> > To tam nemusí být žádný firewal a můžu rovnou povolit vše, a co potom
> > bezpečnost ?
>
> Nevim proc citis takovou potrebu chranit Internet pred Tvou siti. Mam pocit,
> ze vetisina firewallu je konfigurovana presne opacne - snazi se omezit
> prichozi
> konexe :-)
Protože normálně mám vše zakázané a potom povoluji různé porty IN,OUT.....
#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
# Firewall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -p icmp -j ACCEPT
# local
/sbin/iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
# FORWARD
/sbin/iptables -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
# SMTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 25 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 25 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 25 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 -i ppp0 -j ACCEPT
# DNS
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 53 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 53 -j ACCEPT
# WWW
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 80 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 80 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 80 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -i ppp0 -j ACCEPT
# POP3
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 110 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 110 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 110 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 -i ppp0 -j ACCEPT
# NTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 -j ACCEPT
# https
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 443 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 443 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 443 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 -i ppp0 -j ACCEPT
# PGP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 11371 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 11371 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 11371 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 -i ppp0 -j ACCEPT
# Zakazane loguj
/sbin/iptables -A OUTPUT -p tcp -j LOG
/sbin/iptables -A OUTPUT -p udp -j LOG
/sbin/iptables -A INPUT -p tcp -j LOG
/sbin/iptables -A INPUT -p udp -j LOG
/sbin/iptables -A FORWARD -p tcp -j LOG
/sbin/iptables -A FORWARD -p udp -j LOG
>
> Pokud chces povolit jen urcite sluzby pak misto routeru je lepsi pouzit
> proxy -
> pak mas jistotu, ze zadne protokoly nepodporovane danym proxy resenim
> neprojdou.
Pro www mám tam squida.
Jinak uvítám každou radu k vylepšení + jak tam nejlépe vrazit průchod na
FTP.
PS. Moc kolem iptables v češtině není, nebo jsem to neobjevil a toto jsou
pouze moje začátky.
--
/----------------------------------------\
| Petr Šobáň |
| Ostrava |
|----------------------------------------|
| e-mail soban(zavináč)centrum(tečka)cz |
\----------------------------------------/
Další informace o konferenci Linux