Pomoc s konfiguraci IPchains

Ing. Miroslav Cabarka mirodoma na arka.sk
Pondělí Květen 7 22:17:58 CEST 2001


On Monday 07 May 2001 09:54, you wrote:
> <5. Je to takto spravne, z vnejsku na server projdou jen pakety na
> www. Vsechny
> < ostatni se zakazou?
> <
> <Chain input (policy ACCEPT):
> <target     prot opt     source                destination         
>  ports <ACCEPT     tcp  ------ firma.cz              firma.cz      
>        any -> <  !www
> <DENY       all  ------  anywhere             firma.cz             
> n/a <Chain forward (policy ACCEPT):
> <Chain output (policy ACCEPT):
>
> Pokud se nepletu tak by to melo byt
>
> ipchains -A input -d firma.cz www -j ACCEPT
> ipchains -A input -j DENY
>

Ak ide o povolenie www zvonku na nas server, tak prislusne prikazy su 
nasledovne (ak eth0 je linka na internet a eth1 je dovnutra a nase 
verejne IP je 1.2.3.4):
-------------
ipchains -A input -i eth0 -p tcp -s 0.0.0.0/0 -d 1.2.3.4 80 -j ACCEPT

# povoli VSTUP cez eth0 paketu s protokolom TCP s lubovolnou
# zdrojovou adresou, lubovolnym zdrojovym portom, s cielovou adresou
# 1.2.3.4 a cielovym portom 80 - to znamena ze paket je uz VNUTRI,
# server vygeneruje odpoved a zabali ho do paketu, ktory potrebujeme 
# dostat von cez eth0:

ipchains -A output -i eth0 -p tcp -s 1.2.3.4 80 -d 0.0.0.0/0 -j ACCEPT
--------------
Toto je vsak len pristup ZVONKU na nas, neriesi to pristup zvnutra na 
internet. Pravidla by boli podobne, len by mali eth1 a privatne IP a 
privatnu siet - ak mame proxy. Ak nie, musime maskaradovat, teda zase 
uplne inak - maskarada sa totiz tyka chainov forward a output.

Niekde na zaciatku skriptu este musi byt:
--------------
ipchains -F # zrusenie vsetkych pravidiel
ipchains -X # zrusenie uzivatelskych chainov
ipchains -P input DENY    # politika na DENY
ipchains -P output DENY   # politika na DENY
ipchains -P forward DENY  # politika na DENY
ipchains -A input -i lo -j ACCEPT  # na loope neobmedzene
ipchains -A output -i lo -j ACCEPT # na loope neobmedzene
--------------
Potom treba riesit otazku ICMP (ping a ine..), ktora musi byt pre 
niektore pripady povolena, dalej DNS, SMTP, obranu proti spoofingu 
adries, maskaradu, FTP, NNTP, POP alebo IMAP... Mam pre tych, ktori 
by mali zaujem, vzorovy subor, rad poslem na sukromny mail. Ma cez 
500 riadkov.


-- 
Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.


Další informace o konferenci Linux