View previous topic :: View next topic |
Author |
Message |
nUmer_inaczej Apprentice
Joined: 24 Apr 2007 Posts: 165 Location: Bydgoszcz
|
Posted: Mon May 13, 2013 10:31 am Post subject: Pomoc przy konfiguracji regułek iptables |
|
|
Witam serdecznie.
W używaniu gentoo miałem krótką przerwę w trakcie której zmieniły się regułki w iptables.
Mój plik /etc/codf.d/iptables wygląda jak poniżej:
Code: |
# Location in which iptables initscript will save set rules on
# service shutdown
IPTABLES_SAVE="/var/lib/iptables/rules-save"
# Options to pass to iptables-save and iptables-restore
SAVE_RESTORE_OPTIONS="-c"
# Save state on stopping iptables
SAVE_ON_STOP="yes"
# Zabezpieczam /proc
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
for i in /proc/sys/net/ipv4/conf/*; do
/bin/echo "1" > $i/rp_filter
done
# Czyszczę reguły
iptables -F
iptables -X
# Ustawiam domyślną politykę
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# dzielenie pakietów
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Blokuję nieprawidłowe pakiety
iptables -A INPUT -i enp5s2 -m conntrack --ctstate INVALID -j DROP
# Dopuszczam ruch na interfejsie lokalnym
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# Dopuszczam do ruchu połączenia już nawiązane i powiązane
iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i enp5s2 -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Dopuszczam ruch przychodzący
iptables -A INPUT -i enp5s2 --protocol tcp --destination-port 80 -m limit --limit 1/s -j ACCEPT
# Wszystkie niepasujące zostaną odnotowane w LOGach
##iptables -A INPUT -i enp5s2 -j LOG --log-prefix "INPUT DROP" --log-ip-options --log-tcp-options
|
watch -n0 iptables -L -vx nie pokazuje mi jednak ruchu z "Dopuszczanego ruchu przychodzącego" - firewall działa, mogę nawiązać ruch przychodzący na podstawie iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT - dlaczego.
Bardzo bym prosił o pomoc. Będę bardzo wdzięczny jeśli ktoś pomoże mi również z ostatnią linijką (zachaszowaną) dotyczącą logowania upuszczonych pakietów.
Pozdrawiam
Roman |
|
Back to top |
|
|
nUmer_inaczej Apprentice
Joined: 24 Apr 2007 Posts: 165 Location: Bydgoszcz
|
Posted: Wed May 15, 2013 7:45 pm Post subject: |
|
|
Na ostatnie pytanie znalazłem rozwiązanie - otóż nie miałem skompilowanego modułu xt_LOG
w .config
<M> LOG target support
Pierwsze pytanie pozostaje nadal otwarte. Bardzo bym prosił o pomoc.
Pozdrawiam |
|
Back to top |
|
|
Jacekalex Guru
Joined: 17 Sep 2009 Posts: 553
|
|
Back to top |
|
|
|