Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Iptables, wyj

https://www.debian.pl/viewtopic.php?t=27371

Strona 1 z 1

Iptables, wyjście i przekierowanie tylko określone porty

: 24 sierpnia 2012, 14:23
autor: grzesiekp
Witam serdecznie.
W tej chwili mam tak:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Chciałbym zmienić to w sposób taki, aby użytkownicy sieci wewnętrznej mogli korzystać z Internetu ograniczając tylko do http(s) - czyli port 80 oraz 443, pop3 i smtp oraz GG.

Czy konieczne jest ustawienie

Kod: Zaznacz cały

iptables -P OUTPUT DROP
i otwarcie każdego portu osobno dla opcji OUTPUT?
Czy wystarczy zostawić jak jest i w regułce FORWARD zapisać, które porty są dozwolone?

Tak to wygląda w tej chwili:

Kod: Zaznacz cały

iptables -A FORWARD -i eth4 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -o eth4 -m multiport --dport 1:1024 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -j ACCEPT
Gdzie:eth0 to wyjście na świat natomiast eth4 sieć wewnętrzna.

Pozdrawiam,
Grzegorz.

: 24 sierpnia 2012, 17:56
autor: markossx
Łańcuch Output operuje na pakietach wychodzących bezpośrednio z boxa, więc odpowiedź brzmi: nie.
Pierwsza reguła da dostęp całej klasie prywatnej na dostęp do wszystkich portów w WAN.
Druga "wytnie" połączenia na porty od 1 do 1024 przychodzące z WAN do LAN - nie ma sensu bo polityka jest DROP.
Trzecia zaś, pozwoli na dostęp do interfejsu WAN dla prywatnej klasy.
Poszukaj na Internecie o przepływie pakietów w jądrze Linuksa.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl