wadliwe dzia

[goofy]

Ten fragment:

Kod: Zaznacz cały

-m state --state ESTABLISHED,RELATED

przepuszcza tylko pakiety, nalezace do polaczenia, ktore sam zainicjowales. Czyli zasadniczo nikt z zewnatrz bez Twojej akceptacji sie nie polaczy.

Natomiast jesli otworzysz na stale jakis port za pomoca:

Kod: Zaznacz cały

--dport
--sport

to teoretycznie istnieje mozliwosc polaczenia sie na Twoj komputer w kazdej chwili, bez Twojej wiedzy.

Roznica miedzy sport a dport jest taka, ze sport to port z ktorego pakiet jest wyslany, a dport to port docelowy. Czyli np. w przypadku typowego polaczenia http, wysylasz z jakiegos sport na swoim komputerze zapytanie i trafia ono na dport 80 na serwerze http. Nastepnie serwer wysyla z portu 80 (w tym momencie jest to sport, bo pakiet jest wysylany) odpowiedz na Twoj dport (ktory uprzednio byl twoim sport'em).

Wracajac do meritum. Uwazam, ze te 2 linijki sa w Twoim wypadku bezpieczne oraz wystarczajace:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

i nie potrzebujesz otwierac ani zamykac nic wiecej na lancuchach INPUT i FORWADR.

Jezeli natomiast koniecznie chcesz dodatkowo zalozyc ograniczenia na porty to mozesz to zrobic np. tak:

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -p udp --sport 53 -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -p udp --sport 53 -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED

Wydaje mi sie tez, ze w Twoim iptables brakuje tego:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s LAN.XXX.YYY.ZZZ -j MASQUERADE