Iptables, wyj

[grzesiekp]

Witam serdecznie.
W tej chwili mam tak:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Chciałbym zmienić to w sposób taki, aby użytkownicy sieci wewnętrznej mogli korzystać z Internetu ograniczając tylko do http(s) - czyli port 80 oraz 443, pop3 i smtp oraz GG.

Czy konieczne jest ustawienie

Kod: Zaznacz cały

iptables -P OUTPUT DROP

i otwarcie każdego portu osobno dla opcji OUTPUT?
Czy wystarczy zostawić jak jest i w regułce FORWARD zapisać, które porty są dozwolone?

Tak to wygląda w tej chwili:

Kod: Zaznacz cały

iptables -A FORWARD -i eth4 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -o eth4 -m multiport --dport 1:1024 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -j ACCEPT

Gdzie:eth0 to wyjście na świat natomiast eth4 sieć wewnętrzna.

Pozdrawiam,
Grzegorz.

[markossx]

Łańcuch Output operuje na pakietach wychodzących bezpośrednio z boxa, więc odpowiedź brzmi: nie.
Pierwsza reguła da dostęp całej klasie prywatnej na dostęp do wszystkich portów w WAN.
Druga "wytnie" połączenia na porty od 1 do 1024 przychodzące z WAN do LAN - nie ma sensu bo polityka jest DROP.
Trzecia zaś, pozwoli na dostęp do interfejsu WAN dla prywatnej klasy.
Poszukaj na Internecie o przepływie pakietów w jądrze Linuksa.