← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #75141

Re: Firewall lukker webspeed-forbindelse

  Thread PreviousDate PreviousThread Next 
On Thu, 22 Jul 2004 17:33:42 +0000
Jørgen wrote:

> Hvordan laver du firewall?

Jeg kan ikke genkende den notationsmåde, som Ivar giver. 

Du kan se forskellige tools til firewall på http://cvs.linuxbog.dk/

mere præcist

http://cvs.linuxbog.dk/sikkerhed/bog/linux-som-firewall.html#sikkerhed-iptables-cmd




> Jeg skal lige tilføje at jeg har et netkort med forbindelse til en anden 
> maskine, og at kabelmodemet er på en USB-port.

Det kan du netop gøre ud fra eksemplet i linuxbog.dk! Her kan
andre maskiner på det indre net gå ud gennem din firewall, men
udefra kommende kan ikke gå ind. Selvfølgelig.

Du kan lave en minimalistisk men meget sikker firewall på den
måde. Det er programmørens egne eksempler, så metoden er
autoriseret. Det er et meget lille eksempel, ofte vil man gerne
have lidt flere services på en server. (se ovst. link for at huske
at flushe / create en ekstra rule chain):


iptables -A door1 -m state --state INVALID -j DROP
# åbne for al ssh og http
iptables -A door1 -p tcp --sport ssh  -j ACCEPT
iptables -A door1 -p tcp --dport ssh  -j ACCEPT
iptables -A door1 -p tcp --sport http -j ACCEPT
iptables -A door1 -p tcp --dport http -j ACCEPT
# åbne for svar fra nameserere, DNS.
iptables -A door1 -p udp --sport 53   -j ACCEPT
# der åbnes for konversation med dhcp serveren på gatewayen.
iptables -A door1 -p udp --source 130.3.2.1 --dport bootps -j ACCEPT
# åbne for ping (mange vil foretrække at lukke i stedet!)
iptables -A door1 -p icmp             -j ACCEPT
# Alt, hvad der er etableret indefra, accepteres.
iptables -A door1 -m state --state ESTABLISHED,RELATED  -j ACCEPT
# alt andet smides væk.
iptables -A door1 -j DROP

# Hop til door1 hvis input er fra eth1
iptables -A INPUT -i eth1 -j door1

# NAT-ing sættes op, så alt, hvad der kommer fra lokalnettet,
# bliver videresendt som om det kommer fra firewallen.
iptables -t nat -A POSTROUTING --src 192.168.67.0/24 \
         -o eth1 -j SNAT --to 130.3.2.99

# for at det skal fungere, må vi aktivere forwarding:
echo 1 >> /proc/sys/net/ipv4/ip_forward





-- 
donald_j_axel donax snabela get2net.dk -- http://d-axel.dk/

Follow ups

References

  Thread PreviousDate PreviousThread Next