|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » IPTABLES!!! RULES, Разгавор о iptables |
|
||||
|
|
IPTABLES!!! RULES, Разгавор о iptables
|
|
Новый участник Сообщения: 13 |
Доброе время суток. Хотелбы поднять вопрос по iptable. Я новичёк и мануал читал, но не савсем понял. Есть шлюз Fedora Core4, eth1-смотрит в инет ip=194.44.x.x, eth0=локалка ip=192.168.0.1. На шлюзе как-же стоит squid, apache(их с трудом сам настроил), Нада помоч мне с написанием правил по защите шлюза.
|
|
|
Отправлено: 12:59, 20-02-2006 |
|
Старожил Сообщения: 435
|
Профиль | Отправить PM | Цитировать Это зависит от того, что шлюз должен роутить, только интернет, почту, доступ к веб-серверу, ICQ и т.д.
Если в общем, то сначала запрещаешь все, а потом открываешь только те порты, которые нужны. |
|
------- Отправлено: 14:15, 20-02-2006 | #2 |
Ветеран Сообщения: 1114
|
Профиль | Отправить PM | Цитировать Цитата:
|
|
|
------- Отправлено: 14:02, 21-02-2006 | #3 |
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать поищите на форуме - тут давались настройки для нужных вам функций, причем, и конкретно, подходит для Федора. если не найдете - то в личку или будем вместе через форум настраивать.
|
|
------- Отправлено: 19:16, 21-02-2006 | #4 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Добрый день, вечер ALL! (нужное подчеркнуть)
По личной просьбе BuuG и для всех заново подымаем тему IpTables. Может кто нормальную статью напишет? Ибо, то что есть в нете, дает минимальные данные по настройке без полных примеров, аля вставил - подправил и работает. Ведь не всем дано разбираться в тонкостях применения, да и многим это просто не надо. Вот так заново и подымается вопрос обычными пользователями. Благодаря книге "Брандмауры в Линукс" первое издание, мной уже было рассказано, как переделать правила с ipchains на iptables. К сожалению второе издание, применительно к iptables, у нас не издавалось(или я этот момент пропустил). Именно с этой книги я понял некоторые аспекты функционирования netfilter. И уже сам настраивал свои правила. Ну что ALL? Может совместно напишем статью для oszone.ru из цикла для начинающих? До скорого. Начинаем. |
|
|
------- Отправлено: 10:52, 24-02-2006 | #5 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Для начала некоторые условия:
1. Мои правила не оптимизированы. 2. Рассмотрение идет только для RH (RH9, Fedora Core 1,2,3,4) 3. В соответствии с пунктом 2 все настройки iptables располагаются в /etc/sysconfig/iptables и в них не нужно явно указывать команду iptables ибо за нас это делает старт скрипт /etc/rc.d/init.d/iptables 4. Все замечания исправления принимаются. 5. Условия сети – внутренняя сеть eth0 - 10.10.10.0/24, внешняя eth1 x.x.x.x, ДНС1 x1.x1.x1.x1, ДНС2 x2.x2.x2.x2 . 6. Правила по умолчанию созданные при установке системы я удаляю. |
|
------- Отправлено: 11:16, 24-02-2006 | #6 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
 # Linux Firewalls - host myhost.mydomain.ru # Starting firewalling... #------------------------------------------------------------------ # Default *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :admin-in - [0:0] :dep-in - [0:0] :wifi-in - [0:0] #------------------------------------------------------------ # Unlimited traffic on the loopback interface -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #------------------------------------------------------------ # Stealth Scans and TCP State Flags # All of the bits are cleared -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP # SYN and FIN are both set -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # SYN and RST are both set -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # FIN and RST are both set -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP # FIN is the only bit set, without the expected accompanying ACK -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP # PSH is the only bit set, without the expected accompanying ACK -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP # URG is the only bit set, without the expected accompanying ACK -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP #------------------------------------------------------------ # Using Connection State to By-pass Rule Checking -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Using the state module alone, INVALID will break protocols that use # bi-directional connections or multiple connections or exchanges, # unless an ALG is provided for the protocol. At this time, FTP and is # IRC are the only protocols with ALG support. -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID input: " -A INPUT -m state --state INVALID -j DROP -A OUTPUT -m state --state INVALID -j LOG --log-prefix "INVALID ouput: " -A OUTPUT -m state --state INVALID -j DROP -A FORWARD -m state --state INVALID -j LOG --log-prefix "INVALID forward: " -A FORWARD -m state --state INVALID -j DROP #------------------------------------------------------------ # Source Address Spoofing and Other Bad Addresses # Refuse spoofed packets pretending to be from the external interface's IP address -A INPUT -i eth1 -s x.x.x.x -j DROP # Refuse packets claiming to be from a Class A private network #-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP # Refuse packets claiming to be from a Class B private network -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP # Refuse packets claiming to be from a Class C private network -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP # Refuse packets claiming to be from the loopback interface -A INPUT -i eth1 -s 127.0.0.0/8 -j DROP # Refuse malformed broadcast packets -A INPUT -i eth1 -s 255.255.255.255 -j LOG --log-prefix "Malformed broadcast: " -A INPUT -i eth1 -s 255.255.255.255 -j DROP -A INPUT -i eth1 -d 0.0.0.0 -j LOG --log-prefix "Malformed broadcast: " -A INPUT -i eth1 -d 0.0.0.0 -j DROP # Refuse directed broadcasts # Used to map networks and in Denial of Service attacks #$SUBNET_BASE="network.address" # ISP network segment base address #$SUBNET_BROADCAST="directed.broadcast" # network segment broadcast address #-A INPUT -i eth1 -d $SUBNET_BASE -j DROP #-A INPUT -i eth1 -d $SUBNET_BROADCAST -j DROP # Refuse limited broadcasts -A INPUT -i eth1 -d 255.255.255.255 -j DROP # Refuse Class D multicast addresses # illegal as a source address -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP -A INPUT -i eth1 -p ! udp -d 224.0.0.0/4 -j DROP -A INPUT -i eth1 -p udp -d 224.0.0.0/4 -j ACCEPT # Refuse Class E reserved IP addresses -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP # refuse addresses defined as reserved by the IANA # 0.*.*.* - Can`t be blocked unilaterally with DHCP # 169.254.0.0/16 - Link Local Networks # 192.0.2.0/24 - TEST-NET -A INPUT -i eth1 -s 0.0.0.0/8 -j DROP -A INPUT -i eth1 -s 169.254.0.0/16 -j DROP -A INPUT -i eth1 -s 192.0.2.0/24 -j DROP #------------------------------------------------------------ # Disallowing Connections to Common TCP Unprivileged Server Ports # X Window connection establishment -A OUTPUT -o eth1 -p tcp --syn --destination-port 6000:6063 -j REJECT # X Window: incoming connection attempt -A INPUT -i eth1 -p tcp --syn --destination-port 6000:6063 -j DROP # Establishing a connection over TCP to NFS, OpenWindows, SOCKS or squid -A OUTPUT -o eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j REJECT -A INPUT -i eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j DROP #------------------------------------------------------------ # Disallowing Connections to Common UDP Unprivileged Server Ports # NFS and lockd -A OUTPUT -o eth1 -p udp -m multiport --destination-port 2049,4045 -j REJECT -A INPUT -i eth1 -p udp -m multiport --destination-port 2049,4045 -j DROP |
|
------- Отправлено: 11:21, 24-02-2006 | #7 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Пояснения
1. По умолчанию я разрешаю все… Это не правильно, но так оно работает ибо по другому появляется незначительная на первый взгляд задежка. Код:
:INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] Код:
:admin-in - [0:0] :dep-in - [0:0] :wifi-in - [0:0] Код:
# Refuse packets claiming to be from a Class A private network #-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP |
|
------- Отправлено: 11:28, 24-02-2006 | #8 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
#------------------------------------------------------------ # DNS Name Server # DNS Fowarding Name Server or client requests -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport 1024:65535 -d x1.x1.x1.x1 --dport domain -j ACCEPT -A INPUT -i eth1 -p udp -s x1.x1.x1.x1 --sport domain -d x.x.x.x --dport 1024:65535 -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport 1024:65535 -d x2.x2.x2.x2 --dport domain -j ACCEPT -A INPUT -i eth1 -p udp -s x2.x2.x2.x2 --sport domain -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # TCP is used for large responses -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 -d x1.x1.x1.x1 --dport domain -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn -s x1.x1.x1.x1 --sport domain -d x.x.x.x --dport 1024:65535 -j ACCEPT -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 -d x2.x2.x2.x2 --dport domain -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn -s x2.x2.x2.x2 --sport domain -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # DNS Caching Name Server (local server to primary server) -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport domain -d x1.x1.x1.x1 --dport domain -j ACCEPT -A INPUT -i eth1 -p udp -s x1.x1.x1.x1 --sport domain -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport domain -d x2.x2.x2.x2 --dport domain -j ACCEPT -A INPUT -i eth1 -p udp -s x2.x2.x2.x2 --sport domain -d x.x.x.x --dport domain -j ACCEPT #............................................................... # DNS full nameserver - client to server DNS transaction -A INPUT -i eth1 -p udp --sport 1024:65535 -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport domain --dport 1024:65535 -j ACCEPT #............................................................... # peer-to-peer server DNS transaction -A INPUT -i eth1 -p udp -s x1.x1.x1.x1 --sport domain -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport domain -d x1.x1.x1.x1 --dport domain -j ACCEPT -A INPUT -i eth1 -p udp -s x2.x2.x2.x2 --sport domain -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport domain -d x2.x2.x2.x2 --dport domain -j ACCEPT #............................................................... # Zone Transfers due to the potential danger of zone transfers,only allow TCP traffic to specific secondaries. -A INPUT -i eth1 -p tcp -s x1.x1.x1.x1 --sport 1024:65535 -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport domain -d x1.x1.x1.x1 --dport 1024:65535 -j ACCEPT -A INPUT -i eth1 -p tcp -s x2.x2.x2.x2 --sport 1024:65535 -d x.x.x.x --dport domain -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport domain -d x2.x2.x2.x2 --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # Filtering the AUTH User Identification Service (TCP Port 113) # Outgoing Local Client Requests to Remote Servers -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport auth -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport auth -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Incoming Remote Client Requests to Local Servers -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport auth -j REJECT --reject-with tcp-reset -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport auth --dport 1024:65535 -j REJECT --reject-with tcp-reset #------------------------------------------------------------ # Sending Mail to Any External Mail Server -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport smtp -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport smtp -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Receiving Mail as a Local SMTP server (25) -A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d x.x.x.x --dport smtp -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport smtp -d any/0 --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # Retrieving Mail as a POP Client (TCP Port 110) -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport pop3 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport pop3 -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................ # Hosting a Server for Remote Clients -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport pop3 -j REJECT --reject-with tcp-reset -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport pop3 --dport 1024:65535 -j REJECT --reject-with tcp-reset #------------------------------------------------------------ # Retrieving Mail as a IMAP Client (TCP Port 143) -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport imap -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport imap -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................ # Hosting a Server for Remote Clients -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport imap -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport imap --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # ssh (TCP Port 22) # Outgoing Local Client Requests to Remote Servers -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport ssh -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --source-port ssh -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Incoming Remote Client Requests to Local Servers -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport ssh -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport ssh --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # HTTP Web Traffic (TCP Port 80) # Outgoing Local Client Requests to Remote Servers -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport http -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport http -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Incoming Remote Client Requests to Local Servers -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport http -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport http --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # SSL Web Traffic (TCP Port 443) # Outgoing Local Client Requests to Remote Servers -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport https -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport https -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Incoming Remote Client Requests to Local Servers -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport https -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport https --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # TELNET (23) Allowing Outgoing Client Access to Remote Sites -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport telnet -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport telnet -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Allowing Incoming Access to Your Local Server -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport telnet -j REJECT --reject-with tcp-reset -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport telnet --dport 1024:65535 -j REJECT --reject-with tcp-reset #------------------------------------------------------------ # FINGER (79) Accessing Remote finger Servers as a Client -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport finger -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport finger -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Allowing Remote Client Access to a Local finger Server -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport finger -j REJECT --reject-with tcp-reset -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport finger --dport 1024:65535 -j REJECT --reject-with tcp-reset #------------------------------------------------------------ # whois (TCP Port 43) # Outgoing Local Client Requests to Remote Servers -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport nicname -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport nicname -d x.x.x.x --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # Gopher client (70) -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport gopher -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport gopher -d x.x.x.x --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # WAIS client (210) -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport 210 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport 210 -d x.x.x.x --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # MySQL server (3306) -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport mysql -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport mysql --dport 1024:65535 -j ACCEPT |
|
------- Отправлено: 11:54, 24-02-2006 | #9 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
#------------------------------------------------------------ # ftp (TCP Ports 21, 20) # Outgoing Local Client Requests to Remote Servers # Outgoing Control Connection to Port 21 -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport ftp -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport ftp -d x.x.x.x --dport 1024:65535 -j ACCEPT # Incoming Port Mode Data Channel Connection from Port 20 -A INPUT -i eth1 -p tcp --sport ftp-data -d x.x.x.x --dport 1024:65535 -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport 1024:65535 --dport ftp-data -j ACCEPT # Outgoing Passive Mode Data Channel Connection Between Unprivileveg Ports -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport 1024:65535 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport 1024:65535 -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Incoming Remote Client Requests to Local Servers # Incoming Control Connection to Port 21 -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport ftp -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport ftp --dport 1024:65535 -j ACCEPT # Outgoing Port Mode Data Channel Connection to Port 20 -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport ftp-data --dport 1024:65535 -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport 1024:65535 -d x.x.x.x --dport ftp-data -j ACCEPT # Incoming Passive Mode Data Channel Connection Between Unprivileved Ports -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport 1024:65535 -j ACCEPT -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport 1024:65535 --dport 1024:65535 -j ACCEPT #------------------------------------------------------------ # Accessing Usenet News Services (TCP NNTP Port 119) -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport nntp -j ACCEPT -A INPUT -i eth1 -p tcp ! --syn --sport nntp -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................ # Hosting a Usenet News Server for Remote Clients -A INPUT -i eth1 -p tcp --sport 1024:65535 -d x.x.x.x --dport nntp -j REJECT --reject-with tcp-reset -A OUTPUT -o eth1 -p tcp ! --syn -s x.x.x.x --sport nntp --dport 1024:65535 -j REJECT --reject-with tcp-reset #............................................................ # Allowing Peer News Feeds for a Local Usenet Server -A OUTPUT -o eth1 -p tcp -s x.x.x.x --sport 1024:65535 --dport nntp -j REJECT --reject-with tcp-reset -A INPUT -i eth1 -p tcp ! --syn --sport nntp -d x.x.x.x --dport 1024:65535 -j REJECT --reject-with tcp-reset #------------------------------------------------------------ # Accessing Remote Network Time Servers (UDP 123) # Note: some client and servers use source port 123 # when querying a remote server on destination port 123. # Use $TIME_SERVER x.x.x.x only MY net -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport 1024:65535 -d any/0 --dport ntp -j ACCEPT -A INPUT -i eth1 -p udp -s any/0 --sport ntp -d x.x.x.x --dport 1024:65535 -j ACCEPT #............................................................... # Accessing a Remote Client to Local Time Server -A INPUT -i eth1 -p udp --sport 1024:65535 -d x.x.x.x --dport ntp -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport ntp --dport 1024:65535 -j ACCEPT -A INPUT -i eth1 -p udp --sport ntp -d x.x.x.x --dport ntp -j ACCEPT -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport ntp --dport ntp -j ACCEPT #------------------------------------------------------------ # SYSLOG client (514) # Use $SYSLOG_SERVER = x.x.x.x -A OUTPUT -o eth1 -p udp -s x.x.x.x --source-port 514 -d y.y.y.y --destination-port 1024:65535 -j ACCEPT #............................................................... # Accessing a Remote Client to SYSLOG Server -A INPUT -i eth0 -p udp --sport 1024:65535 -d x.x.x.x --dport 514 -j ACCEPT -A INPUT -i eth0 -p udp --sport 514 -d x.x.x.x --dport 514 -j ACCEPT #------------------------------------------------------------ # TRACEROUTE - usually uses -S 32769:65535 -D 33434:33523 # Enabling Outgoing traceroute Requests -A OUTPUT -o eth1 -p udp -s x.x.x.x --sport 32769:65535 -d any/0 --dport 33434:33523 -j ACCEPT #............................................................... # incoming query from the ISP. All others are denied by default. -A INPUT -i eth1 -p udp -s any/0 --sport 32769:65535 -d x.x.x.x --dport 33434:33523 -j ACCEPT |
|
------- Отправлено: 11:55, 24-02-2006 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Iptables и DC++ | Strange_V | Программное обеспечение Linux и FreeBSD | 6 | 29-02-2008 08:04 | |
| Iptables + Redirect | linuxn00b | Общий по Linux | 4 | 28-05-2007 10:59 | |
| iptables | xamelion | Общий по Linux | 9 | 14-05-2004 18:42 | |
| iptables | The Antihero | Общий по Linux | 21 | 03-11-2002 18:22 | |
|
|
Время: 12:02. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
