IPTABLES a FTP
Jiri Drasnar
drasnar na mineral.cz
Úterý Prosinec 11 14:22:54 CET 2001
HTTP a treba MAIL je v pohode, FTP spojeni uz skoro proslo (:-)) ...
Jak "skoro"? Spojim se ze stanice (Windows commander) na ftp server, dojde
k overeni uzivatele a pote se objevi zprava "provadim LIST" a tim cela akce
konci.
Posilam pro kontrolu aktualni obsah souboru firewall:
# odstraneni modulu
rmmod iptable_filter
rmmod ip_conntrack
rmmod ip_conntrack_ftp
rmmod ip_nat_ftp
# natazeni potrebnych modulu
cd /lib/modules/2.4.13-0.5custom/kernel/net/ipv4/netfilter/
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# vycisteni pravidel filtrovani
iptables -F
iptables -t nat -F
# imlicitni odmitnuti paketu
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#
echo "1" > /proc/sys/net/ipv4/ip_forward
# povoleni ip forwardingu a prekladu sitovych adres
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1/24 -j SNAT --to
194.213.252.135
# povoleni veskere lokalni komunikace
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
# povoleni veskere komunikace na eth1 - lokalni LAN
iptables -I INPUT -i eth1 -j ACCEPT
iptables -I OUTPUT -o eth1 -j ACCEPT
# povoleni odchozich paketu bez omezeni
iptables -A OUTPUT -o eth0 -p tcp -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# povoleni paketu vsech tcp navazanych spojeni
iptables -m state -A INPUT -i eth0 --state ESTABLISHED -j ACCEPT
# povoleni aktivniho FTP
iptables -m state -A INPUT -i eth0 --state RELATED -j ACCEPT
# povoleni SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 --syn -j ACCEPT
# povoleni DNS
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
# jeste DNS, protoze MSIE resolvuje i kdyz ma proxy cache
iptables -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
# povoleni prichoziho MAILU
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
# povoleni FTP ???
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
# povoleni FTP zevnitr
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
# povoleni portu 1023 - server v akt.modu otevira spojeni 21 na 1023
iptables -A FORWARD -i eth1 -p tcp --dport 1023 -j ACCEPT
# WWW
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
# povoleni related a provozu na na eth0
iptables -A FORWARD -i eth0 -p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
---
Odchozí zpráva neobsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.306 / Virová báze: 166 - datum vydání: 4.12.2001
Další informace o konferenci Linux