|
|
iptables - co mogę w moim skrypcie usprawnić?
michalbak89 - 09-10-2009 14:51
Witam.
Dzisiaj przystąpiłem do konfiguracji iptables na moim Debianie Squeeze. Chciałbym abyście ocenili mój skrypt firewalla i powiedzieli ewentualnie co byście w nim zmienili (dodali bądź usunęli). Dodam, że jestem normalnym użytkownikiem, z internetem jestem połączony cały czas, korzystam z GG, Skypa, Samby, Klienta Poczty IceDove, czasem z P2P. Z internetem łącze się przez Wlan, który dostaje ip po DHCP. Od firewalla wymagam aby mnie dobrze chronił.
Skrypt:
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT
# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT
KeFaS - 10-10-2009 05:46
Z internetem łącze się przez Wlan, który dostaje ip po DHCP.
Czyli na routerze i tak musi być działający firewall, więc Twój jest już zbędny, a wszystkie porty które chcesz przekierować (np. do sprawnego działania P2P) powinieneś zrobić to bezpośrednio na routerze.
michalbak89 - 10-10-2009 06:38
Dokładnie mam router Asusa WL-500G z wgranym Tomato. Router posiada już wgrany iptables ale ochrony nigdy za wielę dlatego jeszcze raz zapytam co byście usprawnili w moim skrypcie firewalla oraz co jest lepsze własno ręczna konfiguracja skryptu czy może guarddog zrobi to za nas lepiej?
KeFaS - 10-10-2009 15:52
Aha, to na router. Czyli na początku, żeby to działo, usuń z początku "]" bo chyba przez przypadek go tam dałeś. ;-)
Dalej, dodaj maskaradę
iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE
Zakładając, że pod eth0 masz WAN.
michalbak89 - 10-10-2009 21:53
Zmieniłem interfejs z eth0 na wlan0 bo kartę bezprzewodową wlan mam przypisaną do interfejsu wlan0 ale coś jest nie tak z tą maskaradą bo przy próbie uruchomienia skryptu otrzymuję coś takiego:
Jak zmieniłem trochę Twoje polecenie to wszystko działa, dałem to zamiast Twojego:
Czy tak będzie dobrze:
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
# aMule
iptables -A INPUT -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4672 -j ACCEPT
# KTorrent
iptables -A INPUT -s 0/0 -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 4444 -j ACCEPT
A czy ten firewall będzie mnie chronić przed atakami DOS, DDOS itd..?
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
