Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Pomoc przy konfiguracji regułek iptables
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW
View previous topic :: View next topic  
Author Message
nUmer_inaczej
Tux's lil' helper
Tux's lil' helper


Joined: 24 Apr 2007
Posts: 130
Location: Bydgoszcz

PostPosted: Mon May 13, 2013 10:31 am    Post subject: Pomoc przy konfiguracji regułek iptables Reply with quote

Witam serdecznie.

W używaniu gentoo miałem krótką przerwę w trakcie której zmieniły się regułki w iptables.
Mój plik /etc/codf.d/iptables wygląda jak poniżej:
Code:

# Location in which iptables initscript will save set rules on
# service shutdown
IPTABLES_SAVE="/var/lib/iptables/rules-save"

# Options to pass to iptables-save and iptables-restore
SAVE_RESTORE_OPTIONS="-c"

# Save state on stopping iptables
SAVE_ON_STOP="yes"

# Zabezpieczam /proc
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do
        /bin/echo "1" > $i/rp_filter
done

# Czyszczę reguły
iptables -F
iptables -X

# Ustawiam domyślną politykę
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# dzielenie pakietów
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Blokuję nieprawidłowe pakiety
iptables -A INPUT -i enp5s2 -m conntrack --ctstate INVALID -j DROP

# Dopuszczam ruch na interfejsie lokalnym
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

# Dopuszczam do ruchu połączenia już nawiązane i powiązane
iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i enp5s2 -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Dopuszczam ruch przychodzący
iptables -A INPUT -i enp5s2 --protocol tcp --destination-port 80 -m limit --limit 1/s -j ACCEPT

# Wszystkie niepasujące zostaną odnotowane w LOGach
##iptables -A INPUT -i enp5s2 -j LOG --log-prefix "INPUT DROP" --log-ip-options --log-tcp-options


watch -n0 iptables -L -vx nie pokazuje mi jednak ruchu z "Dopuszczanego ruchu przychodzącego" - firewall działa, mogę nawiązać ruch przychodzący na podstawie iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT - dlaczego.
Bardzo bym prosił o pomoc. Będę bardzo wdzięczny jeśli ktoś pomoże mi również z ostatnią linijką (zachaszowaną) dotyczącą logowania upuszczonych pakietów.

Pozdrawiam
Roman
Back to top
View user's profile Send private message
nUmer_inaczej
Tux's lil' helper
Tux's lil' helper


Joined: 24 Apr 2007
Posts: 130
Location: Bydgoszcz

PostPosted: Wed May 15, 2013 7:45 pm    Post subject: Reply with quote

Na ostatnie pytanie znalazłem rozwiązanie - otóż nie miałem skompilowanego modułu xt_LOG
w .config
<M> LOG target support

Pierwsze pytanie pozostaje nadal otwarte. Bardzo bym prosił o pomoc.

Pozdrawiam
Back to top
View user's profile Send private message
Jacekalex
Guru
Guru


Joined: 17 Sep 2009
Posts: 489

PostPosted: Thu May 16, 2013 3:37 pm    Post subject: Reply with quote

Ja mam firewalla w osobnym skrypcie, ale do iptables polecam wiki:

Na desktopa starcza zazwyczaj takie coś:
Code:

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT


W Gentoo można to "zakonotować" poleceniem
Code:
/etc/init.d/iptables save


Do większej zabawy polecam:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png

Pozdrawiam
8)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum