nastaveni firewallu

benco benco na acid.sk
Čtvrtek Květen 17 18:33:46 CEST 2001


On Thu, May 17, 2001 at 05:09:28PM +0200, Daniel Klicka wrote:
> Dobry den,

dobry...

> mam server s pevnym pripojenim k internetu. Pred neho chci umistit dalsi
> pocitac jako firewall. Na tomto firewallu je eth0 s verejnou adresou
> 212.96.164.27 a eth0 s privatni adresou 10.192.0.70 . Server ma eth1 s
                  ^^^^         
tomuto nerozumiem :) nema tu byt nahodou eth1?

> privatni adresou 10.192.0.71.
> Na firewallu jsou nastavena tato pravidla:
> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT

toto nie je moc rozumne, lepsie je defaul policy nastavit na DENY a 
explicitne povolit to co potrebujete... 

> -A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
> -A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
> -A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
> -A input -s 0/0 -d 0/0 -i lo -j ACCEPT
> -A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
> -A input -s 212.96.164.1 53 -d 0/0 -p udp -j ACCEPT
> -A input -s 0/0 -d 0/0 -p tcp -y -j REJECT
> -A input -s 0/0 -d 0/0 -p udp -j REJECT
> 
> A dale je povoleno ip_forwarding.
> Chci, aby zvenku byl pristup pouze na sendmail, ssh a www.
> Ale nevim, jak zaridit, ze pozadavky prichazejici zvenku, ktere pujdou na
> eth0 firewallu se presmerovaly na eth0 serveru.

toto neviem ci sa da pomocou ipchains realizovat, ale ak nie tak asi iproute2, 
alebo este lepsie - pouzite 2.4.x kernel a iptables je vas kamarat:) 
napr pre ssh spojenia:
iptables -t nat -A PREROUTING -p tcp -d [verejna_ip_servera] --dport 22 -j DNAT 
--to-destination [public_ip_servera]:22


benco

> Dekuji.
> -- 
> Daniel Klicka
> xklid01 na sorry.vse.cz
> http://s121h10.vse.cz/dan
> mail to: dannny na mindless.com

------------------------------------------------
[benco]       benco na acid.sk       IRCNet, #sklug
public GnuPG key on http://www.acid.sk/mykey.asc
------------------------------------------------ 
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 230 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20010517/5e003d69/attachment.sig>


Další informace o konferenci Linux