← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #38556

Ipchains, det skulle virke men en test denne weekend har bevist det modsatte ?

  Thread PreviousDate PreviousThread Next 
Jeg er ved at gører klar til at få et fixed IP, I øjeblikket bliver vi
natted
Gemmen ISP'en router på 10.0.0.1,

Jeg har lavet denne ipchains som efter hvad jeg tror skulle lukke for
næsten
Alt untagen DNS og WWW, SSH, fra ikke 192.168.120.0 addr, men det gør
det ikke, jeg
Har denne weekend haf mulighed for at fra 10.0.5.122 addrs, åbne både
min 
Ntop og webmin, som skulle værer lukket ?

Hvis der er nogle der uden det helt storer besvær, kan pege på hvor mit
problem 
Er ville det gører stor lykke..

Hilsen 

Jasper O Waale

# local eth0 er 192.168.120.0
# nonlocal eth1 er 10.0.0.53
#
:input ACCEPT
:forward ACCEPT
:output ACCEPT
#
# Lotus Notes VPN 443 Stunnel to pass Vn Gov restrision on VPN
#
-A forward -p tcp -s 192.168.120.1/255.255.255.0 -d 0/0 www -i eth1 -j
MASQ
-A forward -p udp -s 192.168.120.1/255.255.255.0 -d 0/0 www -i eth1 -j
MASQ
#
# T Proxy setup
#
-A input -p tcp -d 127.0.0.1/255.255.255.0 www -j ACCEPT
-A input -p tcp -d 192.168.120.0/255.255.255.0 www -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 80 -j REDIRECT 3128
-A input -p tcp -s 0/0 -d 192.168.120.4/255.255.255.0 www -j REDIRECT
3128
#
# ICMP
#
-A input -p icmp -s 192.168.120.0/255.255.255.0 -i eth0 -j ACCEPT
-A input -p icmp -s 0/24 -i eth0 -j DENY
#
# Fast SMTP, REJECT RST
#
-A input -p tcp -j DENY -s 0/0 -d 0/0 auth -y
#
# DNS
#
-A input -s 210.80.58.66 53 -d 0/0 -p udp -j ACCEPT
-A input -s 192.168.120.7 53 -d 0/0 -p udp -j ACCEPT
#
# SSH
#
-A input -s 192.168.120.0 -d 0/0 22 -p tcp -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -j DENY
#
# Port block 1:1023
#
-A input -p tcp -s 0/0 -d 0/0 1:1023 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 1:1023 -i eth1 -j DENY
#
# General Port block
#
-A input -p tcp -s 0/0 -d 0/0 1524 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 1600 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 2003 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 2049 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 2105 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 3001 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 3128:3130 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 3128:3130 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 3306 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 3306 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 4444 -i eth1 -j DENY
-A input -p udp -s 0/0 -d 0/0 6000:6100 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 6667 -i eth1 -j DENY
-A input -p tcp -s 0/0 -d 0/0 7000 -i eth1 -j DENY
#
# Ntop
#
-A input -p tcp -s 192.168.120.0/255.255.255.0 -d 0/0 3000 -i eth0 -j
ACCEPT
-A input -p tcp -s 0/0 -d 0/0 3000 -i eth0 -j DENY
#
# VNC
#
-A input -p tcp -s 192.168.120.0/255.255.255.0 -d 0/0 5801 -i eth0 -j
ACCEPT
-A input -p tcp -s 0/0 -d 0/0 5801 -i eth0 -j DENY
#
# Web admin
#
-A input -p tcp -s 192.168.120.0/255.255.255.0 -d 0/0 10000 -i eth0 -j
ACCEPT
-A input -p tcp -s 0/0 -d 0/0 10000 -i eth0 -j DENY
#
# TeleNet, SMTP-in, WWW-in, MSN-voice MSN-messaging
#
-A input -s 0/0 -d 192.168.120.0/255.255.255.0 23 -p 6 -j ACCEPT
-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 6891 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 6901 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 6901 -p udp -j ACCEPT
-A input -s 0/0 -d 0/0 1863 -p tcp -y -j ACCEPT
#
# All local ok ?
#
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
#
# All others
#
-A forward -s 192.168.120.0/255.255.255.0 -i eth1 -j MASQ

Follow ups

References

  Thread PreviousDate PreviousThread Next