Автор Тема: Помощ за iptables firewall.  (Прочетена 1238 пъти)

v13

  • Гост
Помощ за iptables firewall.
« -: Dec 18, 2011, 08:31 »
До сега съм ползвал помощни програми за защитната стена от рода на ufw,shorewall, но сега реших сам да си направя защитна стена. Горе долу се справих но искам да си кажете мнението дали е добре и има ли нужда нещо да се оптимизира. Иначе в този вариант за сега всичко работи.

Код
GeSHi (Bash):
  1. *filter
  2.  
  3. # Politiki po podrazbirane
  4. -P INPUT DROP
  5. -P OUTPUT ACCEPT
  6. -P FORWARD ACCEPT
  7.  
  8. # Premahvame vsichki syshtestvuvashti pravila
  9. -F
  10. -X
  11.  
  12. # Othvyrlyane na tcp s nepravilni flagove
  13. -N bad_tcp_packets
  14.  
  15. # tcp preminali osnovna proverka
  16. -N allowed
  17.  
  18. # Vci`ki paketi syotvetno protokoli
  19. -N tcp_packets
  20. -N udp_packets
  21. -N icmp_packets
  22.  
  23. # Bezuslovno razreshavane na vryzki kym lokalnia interfejs (loopback, 127.0.0.1)
  24. -A INPUT -i lo -j ACCEPT
  25. -A OUTPUT -o lo -j ACCEPT
  26.  
  27. # -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  28.  
  29. # tuk otivat vsichki tcp-paketi, i shte bydat othvyrleni vsichki imashti status NEW, no nyamashti flagove SYN,ACK
  30. # predpazva ot opredeleni tipove ataki podrobnosti v prilojenie B3 kym Iptables Tutorial
  31. -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
  32.  
  33. # Priemame vsichki paketi, otnasyashti se kym veche ustanovenite syedinenia
  34. -A allowed -p TCP --syn -j ACCEPT
  35. -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  36. # Vsichki ostanali ot tazi veriga othvyrlyame
  37. -A allowed -j DROP
  38.  
  39. # Otvaryame nyakoi portove, koito sa zatvoreni po podrazbirane
  40. # -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
  41. # Priemame vhodyashti с 53-po udp (Domain Name Server)
  42. -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT
  43.  
  44. # -A INPUT -p tcp --dport 80 -j ACCEPT
  45. -A INPUT -p tcp --dport 51413 -j ACCEPT
  46.  
  47. # ICMP
  48. # razreshavame neobhodimite tipove
  49. # Dest unreachable
  50. -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
  51. # Time exceeded
  52. -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
  53. # Parameter problem
  54. -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
  55. # Othvyrlyame pinga, kojto po podrazbirane e othvyrlen veche. Move da byde otredaktirano.
  56. # -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
  57. # Tova pravilo move da zameni gornoto
  58. # Mashinata shte vryshta Host unreachable
  59. -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable
  60.  
  61. # Razdelyame paketite po systav vyv verigi
  62. # tcp otiva na dopylnitelna proverka
  63. # -A INPUT -p tcp -j bad_tcp_packets
  64. # Vcichki paketi otnasyashti se kym veche ustanovenite syedinenia (za tcp
  65. # zaradi otdelnata veriga e neobhodimo tova pravilo da se ukaje oshte vednyj)
  66. -A INPUT -p ALL -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  67. -A INPUT -p TCP -i ppp0 -j tcp_packets
  68. -A INPUT -p UDP -i ppp0 -j udp_packets
  69. -A INPUT -p ICMP -i ppp0 -j icmp_packets
  70.  
  71. # Spodelyane na interneta ot ppp0 kym eth1
  72. -A FORWARD -o ppp0 -i eth1 -s 85.14.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
  73. -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  74. COMMIT
  75.  
  76. *nat
  77. -A POSTROUTING -j MASQUERADE
  78. COMMIT

Един от въпросите ми е кое правило от двете е по-добре да се използва.

-A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
или това, което съм плзвал в кода по-горе?
Активен

Bogo

  • Напреднали
  • *****
  • Публикации: 577
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: Помощ за iptables firewall.
« Отговор #1 -: Dec 24, 2011, 23:07 »
Ако си поиграещ малко с този генератор, може да ти дойдат идей за усъвършенстване на твоя.
http://easyfwgen.morizot.net/gen/
Активен

live free or die хард :)

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables Firewall Script
Настройка на програми
Vasil_T 5 1982 Последна публикация Sep 01, 2004, 17:06
от Vasil_T
firewall -> iptables
Настройка на програми
anakinn 28 6374 Последна публикация Dec 05, 2005, 17:01
от VladSun
Arno-iptables-firewall
Настройка на програми
limbozon 4 1658 Последна публикация Apr 11, 2010, 15:33
от limbozon
Arno-iptables-firewall въпрос
Настройка на програми
limbozon 5 1846 Последна публикация Apr 19, 2010, 19:15
от borovaka
Iptables Firewall Examples
Настройка на програми
User13 7 2082 Последна публикация Jun 14, 2017, 08:12
от User13