Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: LZ. 10. 01. 2011, 13:07:58
-
Přihlašuju se na server přes SSH.
V navodu na firewall http://www.root.cz/clanky/stavime-firewall-1/ (http://www.root.cz/clanky/stavime-firewall-1/) jsem se dočetl, že chci provest toto:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -N tcp_segmenty
iptables -A INPUT -p TCP -i eth0 -j tcp_segmenty
iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 25 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 443 -j ACCEPT
Ale nějak se mi to nezda. Podle mě po prvním řádku si uplně zablokuju přistup na server přes net a tedy druhý řádek ani nenapišu, natož abych povolil ten zbytek.
Nějaká rada/připomínka?
-
Navod je v poradku, ale pokud pri vzdalene sprave spustis v konzoli prvni dva radky, tak ty druhe dva uz asi nezadas. Ve skriptu to normalne funguje.
-
Pochopil jsi to správně, není to dobrý nápad zadávat postupně. U těch pravidel ale záleží na pořadí, takže si uřízneš větev a pak si ji těmi dalšími položkami zase nasadíš. Chce to vložit do skriptu, často jsou na to speciální adresáře. V debianích distribucích se třeba přidávají skripty do /etc/network/if-pre-up.d/. Zavedou se pak automaticky při startu síťového rozhraní. Pokud si tam ten skript dáš teď, stačí pak zavolat:
# /etc/init.d/networking restart
-
Pro budouci hratky s fw na vzdalenem serveru doporucuji
man iptables-apply
-
Tak zadej nejdřív pravidla (iptables -A) a policy (iptables -P) nech na ACCEPT. Pomocí iptables -L -v zjistíš, zda nějaký provoz nespadne do policy (jsou tam čítače paketů/bajtů) a pak můžeš nastavit policy na DROP.
-
Vyřešil jsem to pomoci
iptables -A INPUT -j DROPna konci.
Policy jsem nechal na ACCEPT, takže i když tam bude někdo řádit s gumou, pořád to pujde ještě opravit.