Pomoc s konfiguraci IPchains
Ing. Miroslav Cabarka
mirodoma na arka.sk
Pondělí Květen 7 22:17:58 CEST 2001
On Monday 07 May 2001 09:54, you wrote:
> <5. Je to takto spravne, z vnejsku na server projdou jen pakety na
> www. Vsechny
> < ostatni se zakazou?
> <
> <Chain input (policy ACCEPT):
> <target prot opt source destination
> ports <ACCEPT tcp ------ firma.cz firma.cz
> any -> < !www
> <DENY all ------ anywhere firma.cz
> n/a <Chain forward (policy ACCEPT):
> <Chain output (policy ACCEPT):
>
> Pokud se nepletu tak by to melo byt
>
> ipchains -A input -d firma.cz www -j ACCEPT
> ipchains -A input -j DENY
>
Ak ide o povolenie www zvonku na nas server, tak prislusne prikazy su
nasledovne (ak eth0 je linka na internet a eth1 je dovnutra a nase
verejne IP je 1.2.3.4):
-------------
ipchains -A input -i eth0 -p tcp -s 0.0.0.0/0 -d 1.2.3.4 80 -j ACCEPT
# povoli VSTUP cez eth0 paketu s protokolom TCP s lubovolnou
# zdrojovou adresou, lubovolnym zdrojovym portom, s cielovou adresou
# 1.2.3.4 a cielovym portom 80 - to znamena ze paket je uz VNUTRI,
# server vygeneruje odpoved a zabali ho do paketu, ktory potrebujeme
# dostat von cez eth0:
ipchains -A output -i eth0 -p tcp -s 1.2.3.4 80 -d 0.0.0.0/0 -j ACCEPT
--------------
Toto je vsak len pristup ZVONKU na nas, neriesi to pristup zvnutra na
internet. Pravidla by boli podobne, len by mali eth1 a privatne IP a
privatnu siet - ak mame proxy. Ak nie, musime maskaradovat, teda zase
uplne inak - maskarada sa totiz tyka chainov forward a output.
Niekde na zaciatku skriptu este musi byt:
--------------
ipchains -F # zrusenie vsetkych pravidiel
ipchains -X # zrusenie uzivatelskych chainov
ipchains -P input DENY # politika na DENY
ipchains -P output DENY # politika na DENY
ipchains -P forward DENY # politika na DENY
ipchains -A input -i lo -j ACCEPT # na loope neobmedzene
ipchains -A output -i lo -j ACCEPT # na loope neobmedzene
--------------
Potom treba riesit otazku ICMP (ping a ine..), ktora musi byt pre
niektore pripady povolena, dalej DNS, SMTP, obranu proti spoofingu
adries, maskaradu, FTP, NNTP, POP alebo IMAP... Mam pre tych, ktori
by mali zaujem, vzorovy subor, rad poslem na sukromny mail. Ma cez
500 riadkov.
--
Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.
Další informace o konferenci Linux