Изпечатай

[helico]

Привет на всички, чета ви от известно време и нямах нужда да пълня форума с излишни теми, но малко по малко настроих нещата и сега имам въпрос дали съм пропуснал нещо важно във следната таблица.

Компютърът е с Убунту. Главната му роля е да рутира нет на около 30 машини. В позледствие ще му пусна сайт, ftp, едно, друго, но за сега идеята му е Рутер.
Настроих го и нет има на машините, имам малко въпроси относно таблиците:

1. Може ли някой да ми даде линк където е написано какво точно значат редовете в препращането на портове например... -t nat -d ... --dport - всъщност горе-долу ми е ясно какво значат, но ми е интересна последователността като команда: 1[правим еди кво си] 2[еди що си] 3[за еди къде си] 4[еди какво си] - ако не ви е проблем, ще съм много благодарен.
За портфоруърда горе-долу разбрах, че каквото идва на външната карта с външно(етх1) с даден порт се препраща на вътрешната мрежа на айпи-то с реалния порт за програмата... Пуснах си Ремуут десктоп от вън на локална машина(и съм много горд със себе си )

Та, отплеснах се малко - въпросът ми беше за таблицата

Код:

# Generated by iptables-save v1.3.8 on Wed Nov 12 15:04:51 2008
*nat
:PREROUTING ACCEPT [54:4002]
:POSTROUTING ACCEPT [73:3216]
:OUTPUT ACCEPT [72:3168]
-A PREROUTING -d 192.168.1.117 -i eth1 -p tcp -m tcp --dport 65432 -j DNAT --to-destination 192.168.2.20:3389 
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT
# Completed on Wed Nov 12 15:04:51 2008
# Generated by iptables-save v1.3.8 on Wed Nov 12 15:04:51 2008
*mangle
:PREROUTING ACCEPT [1037:279438]
:INPUT ACCEPT [204:10668]
:FORWARD ACCEPT [833:268770]
:OUTPUT ACCEPT [162:6768]
:POSTROUTING ACCEPT [968:273918]
COMMIT
# Completed on Wed Nov 12 15:04:51 2008
# Generated by iptables-save v1.3.8 on Wed Nov 12 15:04:51 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [27:1620]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 212.50.0.15 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -s 212.50.0.15 -p udp -j ACCEPT 
-A INPUT -s 212.50.0.20 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -s 212.50.0.20 -p udp -j ACCEPT 
-A INPUT -s 195.24.32.2 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -s 195.24.32.2 -p udp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT 
-A INPUT -d 255.255.255.255 -i eth1 -j DROP 
-A INPUT -d 192.168.1.255 -j DROP 
-A INPUT -s 224.0.0.0/255.0.0.0 -j DROP 
-A INPUT -d 224.0.0.0/255.0.0.0 -j DROP 
-A INPUT -s 255.255.255.255 -j DROP 
-A INPUT -d 0.0.0.0 -j DROP 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -f -m limit --limit 10/min -j LSI 
-A INPUT -i eth1 -j INBOUND 
-A INPUT -d 192.168.2.1 -i eth0 -j INBOUND 
-A INPUT -d 192.168.1.117 -i eth0 -j INBOUND 
-A INPUT -d 192.168.2.255 -i eth0 -j INBOUND 
-A INPUT -j LOG_FILTER 
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6 
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
-A FORWARD -i eth0 -j OUTBOUND 
-A FORWARD -d 192.168.2.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -d 192.168.2.0/255.255.255.0 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j LOG_FILTER 
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6 
-A FORWARD -d 192.168.2.20 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 212.50.0.15 -p tcp -m tcp --dport 53 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 212.50.0.15 -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 212.50.0.20 -p tcp -m tcp --dport 53 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 212.50.0.20 -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 195.24.32.2 -p tcp -m tcp --dport 53 -j ACCEPT 
-A OUTPUT -s 192.168.1.117 -d 195.24.32.2 -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -s 224.0.0.0/255.0.0.0 -j DROP 
-A OUTPUT -d 224.0.0.0/255.0.0.0 -j DROP 
-A OUTPUT -s 255.255.255.255 -j DROP 
-A OUTPUT -d 0.0.0.0 -j DROP 
-A OUTPUT -m state --state INVALID -j DROP 
-A OUTPUT -o eth1 -j OUTBOUND 
-A OUTPUT -o eth0 -j OUTBOUND 
-A OUTPUT -j LOG_FILTER 
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6 
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INBOUND -s 192.168.2.20 -j ACCEPT 
-A INBOUND -s 192.168.1.19 -j ACCEPT 
-A INBOUND -j LSI 
-A LSI -j LOG_FILTER 
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6 
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6 
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP 
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6 
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP 
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6 
-A LSI -j DROP 
-A LSO -j LOG_FILTER 
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6 
-A LSO -j REJECT --reject-with icmp-port-unreachable 
-A OUTBOUND -p icmp -j ACCEPT 
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTBOUND -j ACCEPT 
COMMIT
# Completed on Wed Nov 12 15:04:51 2008

И не съм конфигурирал НАТ-ове или Маскаради, само с един Firestarter съм - как е сигурността - ще се радвам на всякакви съвети и критики, особено ако са съпроводени с четиво(ако е на наш език, още по-добре)

Благодаря предварително и отново се извинявам за аматьорската тема, но само до тук успях да добутам сам.

п.п. Още един въпрос, който се сетих в движение - има ли начин да се премахват и добавят редове в iptables като все едно е отворен с текстов редактор?