sslug-teknik team mailing list archive

[Christian Hansen <webmaster@xxxxxxxxxxxxxx>]

Sune Kirkeby wrote:

> On Wed, May 26, 1999 at 08:35:22PM +0200, Jesper Berth wrote:
> > Hej
> >
> > Jeg har fået IPChains til at køre og nu skal jeg bruge det i et større
> > netværk kan man ikke lave en eller anden fil hvori man skriver alle de
> > ip addresser der kan få lov til at gå igennem......Hvis ja hvordan gør
> > man så
>

Her er det script jeg bruger. Virker fint:-)

#!/bin/sh


# This is the best method: turn on Source Address Verification and get
# spoof protection on all current and future interfaces.
  if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
    echo -n "Setting up IP spoofing protection..."
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 > $f
    done
    echo "done."
  else
    echo PROBLEMS SETTING UP IP SPOOFING PROTECTION.  BE WORRIED.
    echo "CONTROL-D will exit from this shell and continue system startup."

    echo
    # Start a single user shell on the console
    /sbin/sulogin $CONSOLE
fi

# div. moduler

/sbin/modprobe ip_masq_cuseeme
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_vdolive

# initialisere firewall
# Default accepter IKKE !
/sbin/ipchains -P input DENY

# Accepter alt paa alle ethernet kort.
/sbin/ipchains -A input -i eth+ -j ACCEPT
/sbin/ipchains -A input -i lo -j ACCEPT
# Næste linie er måske ikke helt 100% sikker, men ellers kunne jeg
# ikke lige få det til at virke..
/sbin/ipchains -A input -i ppp+ -j ACCEPT

# Sikkerhed!
/sbin/ipchains -A input -i ppp+ -s 10.10.10.0/24 -l -j DENY

# Her kan du så sætte op hvilke maskiner der må kommer på nettet.
# Hostnavnene (f.eks. pii.dn) kan udskiftes med en IP addr.
/sbin/ipchains -A forward -j MASQ -s 192.168.1.2/32 -d 0.0.0.0/0

# Start the kernel forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


MVH Christian