sslug-teknik team mailing list archive

["Arvid Gregersen" <arvid@xxxxxxxxxx>]

Nej jeg ville selvfølgelig kun masq'e det eksterne device eth1.

Én ting ved jeg dog: teknik har langt fra 5000 subscribers -faktisk er det
kun 534, men 1000 øjne er stadig langt bedre end 2 (specielt når de sidder
på mig).

men den der drop ting volder mig stadig store kvaler. Jeg har byttet om på
den (dit argument lød meget rimeligt :-), men det virker stadigvæk ikke.
Skal policyen måske være noget andet end drop? eller har jeg nogle andre
regler der ødelægger det for mig?

Arvid




"Jesper Lund" <jesper@xxxxxxxxxxxxxx> wrote in message
news:3560.212.242.51.102.1047686745.squirrel@xxxxxxxxxxxxxxx...
> > -A INPUT -j RH-Lokkit-0-50-INPUT
>
> Putter alt traffik TIL maskinen i en anden kæde.
>
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT
>
> Opretter regler i den kæde.
>
> > -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
>
> Accepter alt fra localhost
>
> > -A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
>
> Accepter alt fra eth0. Det er vel frohåbentligt dit interne interface ?
>
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
>
> Smid alle forbindelser fra port 0 til port 1023 og 2049 væk.
>
> > -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
> > -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
>
> Det samme for UDP
>
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
> > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
>
> Smid pakker til port 6000-6009 og port 7100 for TCP væk.
>
> > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>
> Slå MASQ til. Men på begge interfaces ? Det vil sige at trafik i begge
> retninger bliver MASQ'ed. Er det med vilje ? Du lukker hele internettet
> ind på dit net sådan
>
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -m quota --quota 967296 -s 192.168.1.3 -j ACCEPT
>
> Prøv at byt om på de to der. Så skal du se løjer. Du starter med at lukke
> alt trafik ude. Og så når du ikke at skrive den næste regel ind. Derfor er
> der ikke noget der virker.
>
> Eller også er det så sent jeg ikke kan tænke klart mere i aften.... :)
>
> //JEsper
>
>
>
>