Witam,
Dzięki. Oczywiscie zanim cokolwiek napisałem, czytałem troche i być może nie jest to skomplikowany firewall ale inny byc nie moze jak na początkującego jak mnie nazwałeś.
Przy budowaniu go posiłkowałem się [url="http://zsk.wsti.pl/publikacje/iptables_przystepnie.htm"]tym[/url] opisem.
Regułki, choć moze infantylne powinny w mojej konfiguracji działać, no chyba, że czegoś nie zrozumialem z lektury nie tylko tego powyższego...
Zmienne z zewnętrznymi IP hosŧów, które chce dopusic:
#ZMIENNE
JAS_DOM="xx.xxx.xxx.x"
JA_DOM="yy.yyy.yyy.y"
MAREK="zzz.zzz.zz.z"
#POLITYKA DOMYSLNA
/usr/sbin/iptables -P INPUT DROP //Domyślna polityka blokowania przychdzących pakietów
/usr/sbin/iptables -P OUTPUT ACCEPT //Wypuszczamy wszystko na zewnątrz
/usr/sbin/iptables -A INPUT -i lo -j ACCEP //Dopuszczamy wszystko przychodzące po localhoscie
Tak więc na tym etapie zablokowałem wszystkie przychodzące pakiety. Teraz moge otwierać po kolei to co chce udostępnić i komu:
WWW dla wszystkich otwieram:
#http
/usr/sbin/iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
FTP otwieram dla hostów z puli 192.168.0.0/24 (LAN w biurze) oraz dla userów logujących się z domu
#ftp
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $JA -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 21 -s $MAREK -j ACCEPT
W zasadzie to samo dla ssh
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JAS -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 5432 -s $JA -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -s $JA -j ACCEPT
Dalej reguły dla samby..wydawało mi się, że skoro domyślnie blokuje wszystkie pakiety to musze ją też odblokować.... pytałem..moge sie mylić:
/usr/sbin/iptables -A INPUT -p tcp --destination-port 135 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --destination-port 137 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --destination-port 138 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 445 -j ACCEPT
Akceptowanie pakietów wynikających z już ustanowionych połączeń:
#RESZTA
/usr/sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Co do odrzucania całej reszty:
/usr/sbin/iptables -A INPUT -j DROP
...to ktos mi podsunął tą regułke, mnie tez się ona wydawała bzdurna (nawet w komentarzu się ?? zachowala)
Iptables czyta regułki po kolei więc powinno działać