Dotaz na iptables
Marcel Kolaja
xkolaja na aurora.fi.muni.cz
Pátek Červenec 12 08:56:27 CEST 2002
On Fri, Jul 12, 2002 at 08:35:14AM +0200, Novy David wrote:
> Ahoj, udělal jsem si server v intranetu, na kterym mi michodem běží qmail,
> když aplikuji tyto pravidla, odesílání z outlooku jedné zprávy trvá něco
> přes minutu, když pravidla vymařu je to natotato, nevíte, kde je chyba. Díky
> David
>
> # ping povolen pouze z IP adresy 192.168.64.27
> iptables -A INPUT -p icmp -s 192.168.64.27 -j ACCEPT
Máte nějaký extrémně dobrý důvod pro tohle (s Vaším problémem to ale
nesouvisí)?
> # pristup ke sluzbe SSH povolen pouze z IP adresy 192.168.64.27
> iptables -A INPUT -p tcp -s 192.168.64.27 --destination-port 22 -j ACCEPT
> # pristup ke sluzbam NETBIOS povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 137:139 -j
> ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 137:139 -j
> ACCEPT
> # pristup ke sluzbe DNS povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 53 -j ACCEPT
> # pristup ke sluzbe RNDC pouze z IP adresy 127.0.0.1
> iptables -A INPUT -p tcp -s 127.0.0.1 --destination-port 953 -j ACCEPT
> iptables -A INPUT -p udp -s 127.0.0.1 --destination-port 953 -j ACCEPT
> # pristup ke sluzbe DHCP povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 67 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 67 -j ACCEPT
> # pristup ke sluzbe SMTP povolen pouze ze site 64.0/24 a 65.O/24
> iptables -A INPUT -p tcp -s 192.168.64.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.64.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 25 -j ACCEPT
> # pristup ke sluzbe POP3 povolen pouze ze site 64.0/24 a 65.0/24
> iptables -A INPUT -p tcp -s 192.168.64.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.64.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 110 -j ACCEPT
> # Pristup ke vsem ostatnim sluzbam je zakazan
> iptables -A INPUT -j DROP
Zahazujete ident (113/TCP). Dejte pro něj buď ACCEPT nebo REJECT. V žádném
případě ale ne DROP, protože pak klient čeká na timeout.
S pozdravem
Marcel Kolaja http://www.fi.muni.cz/~xkolaja/
NLPlab FI MU http://nlp.fi.muni.cz/
--------------------------------------------------------------------------
"UNIX is basically a simple operating system, but you have to be a genius
to understand the simplicity." -- Dennis Ritchie
Další informace o konferenci Linux