← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #86591

Re: Firewall-problemer

  Thread PreviousDate PreviousThread Next 
Gert Holtoft skrev:

Hej
Jeg har rigtig meget brug for lidt(meget)hjælp Jeg har en server(fc4) med 2 netkort i, der skal være åben mod internettet på port 80 og periodisk på port 22
På indersiden skal der være åbent for ftp nfs ssh hhtps for resten af mit lille netværk
Jeg har nu tumlet rundt med manualer, iptables-regler siden lillejuleaften og har ikke kunnet finde ud af det, skulle der være en venlig sjæl der har en iptables fil der nogenlunde dækker ovenstående, og som vil kade mig kigge i den ?? 

Kan det gøres på 1 netkort er det også helt fint

På forhånd tak, og et rigtigt godt Nytår til alle

mvh/gert

Kanske har du redan löst det.

Här är ett sett att lösa det hela.
Lätt att lägga till och ta bort regler. Bara att köra rc.iptables efter varje förändring. 

mvh håkan

#!/bin/sh
# rc.iptables
# ex. på rc.iptables
# eth0 = LAN (lokalt)
# eth1 = WAN (internet)

echo "0" > /proc/sys/net/ipv4/ip_forward

# Flushing any rules that may still be configured.
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F OUTPUT
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -F
/sbin/iptables -X

# Set the default policies for the chains
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P OUTPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

# Stoppa nya ej syn-paket
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Stoppa NETBUS
/sbin/iptables -A INPUT -p tcp --dport 12345 -j logdrop
/sbin/iptables -A INPUT -p udp --dport 12345 -j logdrop

# ---------------------------------------------------------------------
# Set up the firewall rules
# ---------------------------------------------------------------------
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -t filter -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o eth1 -j ACCEPT

# Seting up the ip-forwarding
#
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Set up the ip-masquerading
#
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Tillåt vissa TCP-portar
#
/sbin/iptables -A INPUT -p tcp -i eth1 --sport 1024:65535 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth1 --sport 1024:65535 --dport 80 -j ACCEPT

# Tillåt vissa UDP-portar tex ntp
#
/sbin/iptables -A INPUT -p udp -i eth1 --dport 67:68 -j ACCEPT

# This enables dynamic IP address following
#
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward

# Rules set, we can enable forwarding in the kernel.
# Logging the rest of DROP
 /sbin/iptables -A INPUT -j logdrop

Follow ups

References

  Thread PreviousDate PreviousThread Next