Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] Iptables optymalna konfiguracja dla komputera domowego

https://www.debian.pl/viewtopic.php?t=20729

Strona 1 z 2

[+] Iptables optymalna konfiguracja dla komputera domowego

: 07 listopada 2010, 11:54
autor: DaVidoSS
Cześć.
Próbowałem sam coś zrobić ale nie rozumiem tego iptables lub on nie chce ze mną współpracować.
Kierowałem się w swych działaniach świetnym ponoć redaktorskim poradnikiem (choć sam nic nie rozumiem), który można znaleźć na stronie głównej:
http://debian.linux.pl/content/402-Ipta ... cych-cz.-1.

Ponieważ już nie mam na to siły chciałbym tutaj poprosić o gotowca jak skonfigurować prawidłowo iptables dla komputera domowego.

: 07 listopada 2010, 12:30
autor: shevchenko1987
Może to Ci pomoże. :) [-->> Klik <<--]

: 07 listopada 2010, 13:44
autor: Yampress
Dla stacji roboczej/ desktopa taki skrypt wystarczy:

Kod: Zaznacz cały

 iptables -F
 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
shevchenko1987 ale on maskarady/nat w domu nie robi, więc... A te regułki tam pod to podchodzą, jest nawet część regułek dla serwera. Dostęp do rutera przez ssh i do tego źle ;)

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

: 07 listopada 2010, 16:40
autor: Bastian

Kod: Zaznacz cały

iptables -A INPUT -i lo -j ACCEPT
A nie powinno być:

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -j ACCEPT
?

: 07 listopada 2010, 16:49
autor: Yampress
A po co?
Chciałbyś wszystko wpuścić na interfejsie eth0. Czy Ty wiesz chociaż co oznacza ten zapis, że się czepiasz?

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -j ACCEPT
To można by wtedy zrezygnować z firewalla w ogóle przy takiej linijce.

Tak, ,,lo'' puszczasz wszystko na interfejsie pętli zwrotnej. Poczytaj sobie do czego służy

Kod: Zaznacz cały

lo=127.0.0.1
itp.

W tym zapisie nie ma żadnego błędu.

: 07 listopada 2010, 16:54
autor: Bastian
&quot pisze:Czy Ty wiesz chociaż co oznacza ten zapis, że się czepiasz?
Nie czepiam się tylko pytam, więc spokojnie. Nie zauważyłem, że na ,,OUTPUT'' podałeś domyślnie ,,ACCEPT''. U siebie zazwyczaj ustawiam domyślnie wszędzie ,,DROP'' i potem kontroluję wyjście.

: 07 listopada 2010, 17:59
autor: Yampress
Dla serwera tak, dla desktopa to jest najlepsze. Powoduje blokowanie wszystkiego co chce wejść. Przepuszcza jedynie już nawiązane połączenia, czyli te, które wyszły przez ,,OUTPUT'' - zrobiły swoje i chcą z powrotem wejść na ,,INPUT''.

: 07 listopada 2010, 18:14
autor: grzesiek
Uff... masz swoją odpowiedz DaVidoSS: http://debian.linux.pl/entries/87-Zapor ... a-desktopa
Mam nadzieję, że przyda się dla wielu domowych użytkowników Linuksa. :)

: 08 listopada 2010, 01:20
autor: DaVidoSS
Działa.:-)
Dziękuję, jesteś Guru.

: 08 listopada 2010, 16:44
autor: robero
To ja polecę najprostsze rozwiązanie. Guarddog to graficzna nakładka służąca do konfiguracji Iptables. Wybieramy co ma się łączyć z internetem i zatwierdzamy. Reszta jest blokowana. Program jest w repozytorium.
http://www.linux.rk.edu.pl/w/p/guarddog-firewall/
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl