Dotaz na iptables

Marcel Kolaja xkolaja na aurora.fi.muni.cz
Pátek Červenec 12 08:56:27 CEST 2002 

On Fri, Jul 12, 2002 at 08:35:14AM +0200, Novy David wrote:

> Ahoj, udělal jsem si server v intranetu, na kterym mi michodem běží qmail,
> když aplikuji tyto pravidla, odesílání z outlooku jedné zprávy trvá něco
> přes minutu, když pravidla vymařu je to natotato, nevíte, kde je chyba. Díky
> David
> 
>   # ping povolen pouze z IP adresy 192.168.64.27
> iptables -A INPUT -p icmp -s 192.168.64.27 -j ACCEPT

Máte nějaký extrémně dobrý důvod pro tohle (s Vaším problémem to ale
nesouvisí)?

>   # pristup ke sluzbe SSH povolen pouze z IP adresy 192.168.64.27
> iptables -A INPUT -p tcp -s 192.168.64.27 --destination-port 22 -j ACCEPT
>   # pristup ke sluzbam NETBIOS povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 137:139 -j
> ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 137:139 -j
> ACCEPT
>   # pristup ke sluzbe DNS povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 53 -j ACCEPT
>   # pristup ke sluzbe RNDC pouze z IP adresy 127.0.0.1
> iptables -A INPUT -p tcp -s 127.0.0.1 --destination-port 953 -j ACCEPT
> iptables -A INPUT -p udp -s 127.0.0.1 --destination-port 953 -j ACCEPT
>   # pristup ke sluzbe DHCP povolen pouze ze site 192.168.65.0/24
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 67 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 67 -j ACCEPT
>   # pristup ke sluzbe SMTP povolen pouze ze site 64.0/24 a 65.O/24
> iptables -A INPUT -p tcp -s 192.168.64.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.64.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 25 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 25 -j ACCEPT
>   # pristup ke sluzbe POP3 povolen pouze ze site 64.0/24 a 65.0/24
> iptables -A INPUT -p tcp -s 192.168.64.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.64.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.65.0/24 --destination-port 110 -j ACCEPT
> iptables -A INPUT -p udp -s 192.168.65.0/24 --destination-port 110 -j ACCEPT
>   # Pristup ke vsem ostatnim sluzbam je zakazan  
> iptables -A INPUT -j DROP

Zahazujete ident (113/TCP). Dejte pro něj buď ACCEPT nebo REJECT. V žádném
případě ale ne DROP, protože pak klient čeká na timeout.


S pozdravem

Marcel Kolaja                              http://www.fi.muni.cz/~xkolaja/
NLPlab FI MU                                        http://nlp.fi.muni.cz/
--------------------------------------------------------------------------
"UNIX is basically a simple operating system, but you have to be a genius
to understand the simplicity."       -- Dennis Ritchie

Další informace o konferenci Linux