iptables - co mog

michalbak89 · Post autor: **michalbak89** » 09 października 2009, 14:51

Witam.

Dzisiaj przystąpiłem do konfiguracji iptables na moim Debianie Squeeze. Chciałbym abyście ocenili mój skrypt firewalla i powiedzieli ewentualnie co byście w nim zmienili (dodali bądź usunęli). Dodam, że jestem normalnym użytkownikiem, z internetem jestem połączony cały czas, korzystam z GG, Skypa, Samby, Klienta Poczty IceDove, czasem z P2P. Z internetem łącze się przez Wlan, który dostaje ip po DHCP. Od firewalla wymagam aby mnie dobrze chronił.

Skrypt:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT

# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT

KeFaS · Post autor: **KeFaS** » 10 października 2009, 05:46

michalbak89 pisze: Z internetem łącze się przez Wlan, który dostaje ip po DHCP.

Czyli na routerze i tak musi być działający firewall, więc Twój jest już zbędny, a wszystkie porty które chcesz przekierować (np. do sprawnego działania P2P) powinieneś zrobić to bezpośrednio na routerze.

michalbak89 · Post autor: **michalbak89** » 10 października 2009, 06:38

Dokładnie mam router Asusa WL-500G z wgranym Tomato. Router posiada już wgrany iptables ale ochrony nigdy za wielę dlatego jeszcze raz zapytam co byście usprawnili w moim skrypcie firewalla oraz co jest lepsze własno ręczna konfiguracja skryptu czy może guarddog zrobi to za nas lepiej?

KeFaS · Post autor: **KeFaS** » 10 października 2009, 15:52

Aha, to na router. Czyli na początku, żeby to działo, usuń z początku "]" bo chyba przez przypadek go tam dałeś. ;-)
Dalej, dodaj maskaradę

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING  -i eth0 -j MASQUERADE

Zakładając, że pod eth0 masz WAN.

michalbak89 · Post autor: **michalbak89** » 10 października 2009, 21:53

Zmieniłem interfejs z eth0 na wlan0 bo kartę bezprzewodową wlan mam przypisaną do interfejsu wlan0 ale coś jest nie tak z tą maskaradą bo przy próbie uruchomienia skryptu otrzymuję coś takiego:

iptables v1.4.4: Can't use -i with POSTROUTING

Try `iptables -h' or 'iptables --help' for more information.

Jak zmieniłem trochę Twoje polecenie to wszystko działa, dałem to zamiast Twojego:

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Czy tak będzie dobrze:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t nat -A POSTROUTING  -o wlan0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT

# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT

A czy ten firewall będzie mnie chronić przed atakami DOS, DDOS itd..?

iptables - co mog

iptables - co mogę w moim skrypcie usprawnić?

Re: iptables - co mogę w moim skrypcie usprawnić?