Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

iptables - co mog

https://www.debian.pl/viewtopic.php?t=15717

Strona 1 z 1

iptables - co mogę w moim skrypcie usprawnić?

: 09 października 2009, 14:51
autor: michalbak89
Witam.

Dzisiaj przystąpiłem do konfiguracji iptables na moim Debianie Squeeze. Chciałbym abyście ocenili mój skrypt firewalla i powiedzieli ewentualnie co byście w nim zmienili (dodali bądź usunęli). Dodam, że jestem normalnym użytkownikiem, z internetem jestem połączony cały czas, korzystam z GG, Skypa, Samby, Klienta Poczty IceDove, czasem z P2P. Z internetem łącze się przez Wlan, który dostaje ip po DHCP. Od firewalla wymagam aby mnie dobrze chronił.

Skrypt:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT

# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT

Re: iptables - co mogę w moim skrypcie usprawnić?

: 10 października 2009, 05:46
autor: KeFaS
michalbak89 pisze: Z internetem łącze się przez Wlan, który dostaje ip po DHCP.
Czyli na routerze i tak musi być działający firewall, więc Twój jest już zbędny, a wszystkie porty które chcesz przekierować (np. do sprawnego działania P2P) powinieneś zrobić to bezpośrednio na routerze.

: 10 października 2009, 06:38
autor: michalbak89
Dokładnie mam router Asusa WL-500G z wgranym Tomato. Router posiada już wgrany iptables ale ochrony nigdy za wielę dlatego jeszcze raz zapytam co byście usprawnili w moim skrypcie firewalla oraz co jest lepsze własno ręczna konfiguracja skryptu czy może guarddog zrobi to za nas lepiej?

: 10 października 2009, 15:52
autor: KeFaS
Aha, to na router. Czyli na początku, żeby to działo, usuń z początku "]" bo chyba przez przypadek go tam dałeś. ;-)
Dalej, dodaj maskaradę

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING  -i eth0 -j MASQUERADE
Zakładając, że pod eth0 masz WAN.

: 10 października 2009, 21:53
autor: michalbak89
Zmieniłem interfejs z eth0 na wlan0 bo kartę bezprzewodową wlan mam przypisaną do interfejsu wlan0 ale coś jest nie tak z tą maskaradą bo przy próbie uruchomienia skryptu otrzymuję coś takiego:
iptables v1.4.4: Can't use -i with POSTROUTING

Try `iptables -h' or 'iptables --help' for more information.
Jak zmieniłem trochę Twoje polecenie to wszystko działa, dałem to zamiast Twojego:
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
Czy tak będzie dobrze:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t nat -A POSTROUTING  -o wlan0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT

# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT
A czy ten firewall będzie mnie chronić przed atakami DOS, DDOS itd..?
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl