[+] Iptables optymalna konfiguracja dla komputera domowego

DaVidoSS · Post autor: **DaVidoSS** » 07 listopada 2010, 11:54

Cześć.
Próbowałem sam coś zrobić ale nie rozumiem tego iptables lub on nie chce ze mną współpracować.
Kierowałem się w swych działaniach świetnym ponoć redaktorskim poradnikiem (choć sam nic nie rozumiem), który można znaleźć na stronie głównej:
http://debian.linux.pl/content/402-Ipta ... cych-cz.-1.

Ponieważ już nie mam na to siły chciałbym tutaj poprosić o gotowca jak skonfigurować prawidłowo iptables dla komputera domowego.

shevchenko1987 · Post autor: **shevchenko1987** » 07 listopada 2010, 12:30

Może to Ci pomoże.

[-->> Klik <<--]

Post autor: **Yampress** » 07 listopada 2010, 13:44

Dla stacji roboczej/ desktopa taki skrypt wystarczy:

Kod: Zaznacz cały

 iptables -F
 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

shevchenko1987 ale on maskarady/nat w domu nie robi, więc... A te regułki tam pod to podchodzą, jest nawet część regułek dla serwera. Dostęp do rutera przez ssh i do tego źle

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

Bastian · Post autor: **Bastian** » 07 listopada 2010, 16:40

Kod: Zaznacz cały

iptables -A INPUT -i lo -j ACCEPT

A nie powinno być:

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -j ACCEPT

?

Post autor: **Yampress** » 07 listopada 2010, 16:49

A po co?
Chciałbyś wszystko wpuścić na interfejsie eth0. Czy Ty wiesz chociaż co oznacza ten zapis, że się czepiasz?

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -j ACCEPT

To można by wtedy zrezygnować z firewalla w ogóle przy takiej linijce.

Tak, ,,lo'' puszczasz wszystko na interfejsie pętli zwrotnej. Poczytaj sobie do czego służy

Kod: Zaznacz cały

lo=127.0.0.1

itp.

W tym zapisie nie ma żadnego błędu.

Bastian · Post autor: **Bastian** » 07 listopada 2010, 16:54

&quot pisze:Czy Ty wiesz chociaż co oznacza ten zapis, że się czepiasz?

Nie czepiam się tylko pytam, więc spokojnie. Nie zauważyłem, że na ,,OUTPUT'' podałeś domyślnie ,,ACCEPT''. U siebie zazwyczaj ustawiam domyślnie wszędzie ,,DROP'' i potem kontroluję wyjście.

Post autor: **Yampress** » 07 listopada 2010, 17:59

Dla serwera tak, dla desktopa to jest najlepsze. Powoduje blokowanie wszystkiego co chce wejść. Przepuszcza jedynie już nawiązane połączenia, czyli te, które wyszły przez ,,OUTPUT'' - zrobiły swoje i chcą z powrotem wejść na ,,INPUT''.

grzesiek · Post autor: **grzesiek** » 07 listopada 2010, 18:14

Uff... masz swoją odpowiedz DaVidoSS: http://debian.linux.pl/entries/87-Zapor ... a-desktopa
Mam nadzieję, że przyda się dla wielu domowych użytkowników Linuksa.

DaVidoSS · Post autor: **DaVidoSS** » 08 listopada 2010, 01:20

Działa.:-)
Dziękuję, jesteś Guru.

robero · Post autor: **robero** » 08 listopada 2010, 16:44

To ja polecę najprostsze rozwiązanie. Guarddog to graficzna nakładka służąca do konfiguracji Iptables. Wybieramy co ma się łączyć z internetem i zatwierdzamy. Reszta jest blokowana. Program jest w repozytorium.
http://www.linux.rk.edu.pl/w/p/guarddog-firewall/