Heh... Man nadzieję, ze nie chcesz tego odpalić we Freesco
To jest skrypt dla innych ociężałych linuxów
.
Jakbyś chciał to we freesco to ktoś musi Ci to "przekompilować" na ipfwadm
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| HELP help :) http://forum.freesco.pl/viewtopic.php?f=35&t=2385 |
Strona 1 z 1 |
| Autor: | Anonymous [ niedziela, 13 lipca 2003, 16:24 ] |
| Tytuł: | HELP help :) |
Ello Prosze o pomoc .. w dopisaniu/poprawieniu regulki odpowiedzialnej za to by jeden IP sie mogl tylko laczyc z GG ... a jeden IP mogl miec caly net .... ============== #!/bin/bash case $1 in start) echo "Maskarada dla sieci lokalnej i FIREWALL" echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #ladujemy moduly dla ftp modprobe ip_conntrack modprobe ip_conntrack_ftp #usuniecie wszystkich bałwan jestem filtra i czyszczenie tablic iptables -F iptables -F -t nat #domyslnie nie przepuszczamy nic iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #dodaj wpuszczanie/wypuszczanie wszystkiego na interfejs lo iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT #wpuszczamy/wypuszczamy wszystko na siec lokalna iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT #jawne odruzcenie portow 113,1080 (IDENT,SOCKET) iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable #dopuszczamy PING iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT #zezwalamy na wszystko co odbywa sie w ramach juz dozwolonyc polaczen iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED #filtrowanie nieautoryzwaonego ruchu iptables -A FORWARD -s 10.1.1.0/24 -i ppp0 -j DROP iptables -A FORWARD -s ! 10.1.1.0/24 -o eth0 -j DROP #wpuszczamy polaczenia na SMTP (25) #iptables -A INPUT -p tcp -d 0/0 --dport 25 -j ACCEPT #wpuszczamy polaczenia na WWW (80) #iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT #wpuszczamy polaczenia na SSH (22) tylko dla danego kompa #iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx/32 -d 0/0 --dport 22 -j ACCEPT #uslugi ktore wypuszczamy z naszej sieci #TCP 80,8080(WWW), 22(SSH), 21(FTP), 25(SMTP), 119(NEWS), 53(DNS), 110(POP3) #UDP 123(NTP), 53(DNS) TCP_OUT_ALLOW=80,8080,22,21,25,119,53,6667,443,110,1550,8074 UDP_OUT_ALLOW=123,53 iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOW iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOW iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOW iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOW #dodatkowo przepuszczamy formularze ze stron iptables -A FORWARD -o ppp0 -p tcp --sport 80 -m state --state NEW -j ACCEPT #blokujemy wszystkie polaczenia z kompa yyy.yyyy.yyy.yyy #iptables -A INPUT -i ppp0 -s yyy.yyy.yyy.yyy DROP #iptables -A FORWARD -o ppp0 -d yyy.yyy.yyy.yyy DROP #maskowanie iptables -t nat -A POSTROUTING -p all -s 10.1.1.0/24 -d 0/0 -j MASQUERADE #odmowa dla wszystkich iptables -I FORWARD -s 10.1.1.0/24 -d 0/0 -j DROP #GG iptables -I FORWARD -s 10.1.1.80/24 -d 217.17.41.0/24 -j ACCEPT #tlen # iptables -I FORWARD -s 10.1.1.80/24 -d 212.126.20.0/24 -j ACCEPT #pelny iptables -I FORWARD -s 10.1.1.81/24 -d 0/0 -j ACCEPT #loguje pakiety, ktore nie zostaly wpuszczone iptables -A INPUT -j LOG -m limit --limit 10/hour iptables -A OUTPUT -j LOG -m limit --limit 10/hour iptables -A FORWARD -j LOG -m limit --limit 10/hour echo "chyba OK" ;; stop) echo "Maskarada dla sieci lokalnej i FIREWALL" echo '0' > /proc/sys/net/ipv4/ip_forward echo '0' > /proc/sys/net/ipv4/conf/all/rp_filter #usuniecie wszystkich bałwan jestem filtra i czyszczenie tablic iptables -F iptables -F -t nat #domyslnie przepuszczamy wszystko iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT ;; *) echo "Uzycie: $0 {start,stop}" ;; esac exit 0 ==================== to sie pojawia pewien problem .. bo nie dziala GG na tym jednym kompie .. albo jak dziala to caly net .. Prosze o pomoc .. w dopisaniu/poprawieniu regulki odpowiedzialnej za to by jeden IP sie mogl tylko laczyc z GG ... a jeden IP mogl miec caly net .... |
|
| Autor: | Maciek [ niedziela, 13 lipca 2003, 16:40 ] |
| Tytuł: | |
Niezbyt to odpowiednie forum na to pytanie, no chyba, że udało ci się te iptables na Freesco zaimplementować. |
|
| Autor: | Anonymous [ niedziela, 13 lipca 2003, 16:41 ] |
| Tytuł: | hmm |
nie nie udalo mi sie na freesco a pytam tutaj bo mysle ze ktos mi pomoze na inne forum tez poslalem czekam na odpowiedz na moj problem |
|
| Autor: | Koriolan [ poniedziałek, 14 lipca 2003, 18:57 ] |
| Tytuł: | |
Ja bym to zrobił tak: Zablokował ruch, puścił gg na kompie i patrzył na co się chce łączyć (jest chyba kilka serwerów gg i kilka portów). Potem kolejno blokował serwery i porty a przepuszczał tylko kompa co ma mieć i z głowy. |
|
| Autor: | Anonymous [ piątek, 18 lipca 2003, 10:12 ] |
| Tytuł: | |
A mi sie nie udało wogule odpalić iptables!!! JAk ktoś wie jak to bede wdzieczny |
|
| Autor: | Koriolan [ sobota, 19 lipca 2003, 13:27 ] |
| Tytuł: | |
Heh... Man nadzieję, ze nie chcesz tego odpalić we Freesco
To jest skrypt dla innych ociężałych linuxów .
Jakbyś chciał to we freesco to ktoś musi Ci to "przekompilować" na ipfwadm
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|