sslug-teknik team mailing list archive

["Preben Mikael Bohn" <preben@xxxxxxx>]

 Arvid Gregersen wrote:
> "Hvis man vil have regler skal du ligge i FORWARD"
>
> eeerhhh... kan du uddybe det lidt? Jeg forstår ikke helt hvad du mener...
> Hvilke regler? har jeg brug for andre end den du har anført til at forwarde?

Jeg bruger følgende for at få min (RH7.2) til at fungere som router (aner ntet
om begrænsning og statistik, men mon ikke statistikken kan laves med et fiks
lille script?):

# Clear chains
/etc/init.d/iptables stop

insmod ip_nat_ftp
insmod ip_conntrack_ftp

# Masgurade internet out on eht0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Disable NEW and INVALID incoming or forwardet packets from eth0
iptables -A INPUT
# FTP
#iptables -A INPUT -i eth0 -p TCP --dport 21   -j ACCEPT
# SSH
iptables -A INPUT -i eth0 -p TCP --dport 22   -j ACCEPT
# SMTP
iptables -A INPUT -i eth0 -p TCP --dport 25   -j ACCEPT
# HTTP
iptables -A INPUT -i eth0 -p TCP --dport 80   -j ACCEPT
# HTTPS
#iptables -A INPUT -i eth0 -p TCP --dport 443   -j ACCEPT

iptables -A INPUT -i eth0 -p TCP --dport 113   -j REJECT

iptables -A INPUT -i eth0 -p TCP --dport 111 -j DROP
iptables -A INPUT -i eth0 -p UDP --dport 111 -j DROP
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

# And enable
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
  echo 1 > $f
done


Med venlig hilsen Preben

-- 
In politics stupidity is not a handicap
- Napoleon