Титла: въпрос за iptables.. Публикувано от: jumanji9 в Apr 30, 2009, 15:10 значи искам да попитам дали това което написано долу е вярно ?
опитвам да направя защитна стена..но не съм съвсем сигурна в това което съм измислила до сега :) ако някои който разбита му хвърли едно око ще съм му благодарна ;) :INPUT ACCEPT :FORWARD ACCEPT :OUTPUT ACCEPT PATH=“/etc/rc“ ADDRM1=“192.168.2.0/24 “ ADDRM2=“192.168.0.0/24” ADDRADM=“192.168.0.4/24” ANYDDR=“0.0.0.0/0“ ANYDEV=“eth1“ LOGGING=1 $IPT -A INPUT -s ADDRM1 -i ANYDEV -j DROP $IPT -A INPUT -s ! ADDRM2 -d ANYADDR 110 -i ANYDEV -p tcp -j DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 137 -i ANYDEV -p udp -j DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 138 -i ANYDEV -p udp j- DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 139 -i ANYDEV -p udp j- DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 139 -i ANYDEV -p tcp j- DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 513 -i ANYDEV -p tcp j- DROP $IPT -A INPUT -s ! ADDRADM -d ANYADDR 514 -i ANYDEV -p tpc j- DROP if [“$LOGGING”] then $IPT -A INPUT -p tcp -L -j REJECT $IPT -A INPUT -p udp -L -j REJECT fi В началото се задава пътя до файла rc.local, с командата PAHT=“etc/rc“. След това се заменят цифровите стойности на IP-адресите със символни имена например: ADDRM1=“192.168.2.0/24“ и т.н. за другите.. С помоща на реда „$IPT -A INPUT -s ADDRM1 -i ANYDEV -j DROP“ от конфигурацията на iptables се предотвратява така нареченото мамене „spoofing“, като по този начин се избягва приемането на дейтаграми, които имат адреси на изпращача „-s ADDRM1“ съвпадащи с адресите на външната мрежа „ADDRM1". С реда „$IPT -A INPUT -s ! ADDRM2 -d ANYADDR 110 -i ANYDEV -p tcp -j DROP“ се забранява достъпа до „мрежа 1“(ADDRM1) през порта 110-pop3, който служи за изпращане на съобщенията, като забраната важи за всички външни компютри с изключение на компютрите от "ADDRM2". Със следващите шест реда започващи от реда „$IPT -A INPUT -s ! ADDRADM -d ANYADDR 137 -i ANYDEV -p udp -j DROP“ включително, се забранява достъпа до „Мрежа 1“ през портовете 137-netbios-sn, 138-netbios-dgm, 139-netbios-ssn, 513-login, 514-shell за всички външни компютри с изключение на компютъра на администратора с IP-адрес 192.168.0.4 намиращ се в „Мрежа 2“(ADDRM2). |