On 09-Oct-2001 Kis-Szabo Andras wrote:
ipchains vagy iptables van n�lad?
ipchains.
s hogy m�dos�tottad az ipcahis konfigod a Zorp mell�?
Ez lett volna a kovetkezo kerdesem. Mit kell modositani az ipchains szabalyaiban, hogy a zorp mellett mukodjon? Modemes (dinamikus IP cim) kapcsolat eseten kell valamire figyelni? Jelenleg az ipchains scriptem igy nez ki, mindent enged kifele, befele csak a valaszcsomagokat: #!/bin/bash modprobe ipchains # a ppp0 eszkoz lokalis, dinamikus IP cime (szolgaltato altal kiosztott) PPP_LOCALIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | cut -b6-`" # Anti-spoofing, "forrascim hitelesites" for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done # IP forward echo 1 > /proc/sys/net/ipv4/ip_forward # TUZFAL -- MASQ # A lancok letrehozasa ipchains -N good-bad ipchains -N bad-good ipchains -N icmp-acc ipchains -N bad-if ipchains -N good-if ###################### # Az input lanc # internet -> gateway forgalom a bad-if lancra ipchains -A input -i ppp0 -j bad-if # good -> gateway forgalom a good-if lancra ipchains -A input -d 10.0.0.1 -i eth0 -j good-if # "portszkenneles" a szerverrol mukodjon ipchains -A input -d 10.0.0.1 -i lo -j good-if ipchains -A input -d $PPP_LOCALIP -i ppp0 -j good-if ipchains -A input -d $PPP_LOCALIP -i lo -j good-if # Loopback engedelyezese ipchains -A input -s 127.0.0.1 -j ACCEPT # Minden good-tol jovo am nem a gw-nek szolo csomag engedese ipchains -A input -i eth0 -j ACCEPT # Minden egyeb tiltasa ipchains -A input -j DENY -l # input lanc vege ###################### # A forward lanc # belso halo(good) -> internet(bad) forgalom a good-bad lancra kerul ipchains -A forward -s 10.0.0.0/8 -i ppp0 -j good-bad # internet -> belso halo forgalom a bad-good lancra kerul ipchains -A forward -i eth0 -j bad-good # minden mas ( ilyen nem fordulhat elo tiltva vagyon es loggolasra kerul) ipchains -A forward -j DENY -l # forward vege ##################### # bad-good lanc #csak a valasz csomagokat engedjuk be ezeket a kernel maszkolja es #nem kerulnek a forward lancra # minden egyeb megmaradt csomagot elutasitunk es logolunk ipchains -A bad-good -j DENY -l # bad-good lanc vege #################### # good-bad lanc # minden kimeno csomagot engedunk, de tehetunk korlatozasokat ipchains -A good-bad -j MASQ # good-bad vege ################### # bad-if lanc # elfogadjuk a masquerade-�lt csomagok v�laszait ipchains -A bad-if -p TCP --dport 61000:65096 -j ACCEPT ipchains -A bad-if -p UDP --dport 61000:65096 -j ACCEPT # minden DNS udp valaszat elfogadjuk ipchains -A bad-if -p udp -s 0/0 domain -j ACCEPT #minden tcp valaszcsomag bejohet ipchains -A bad-if -p tcp ! -y -j ACCEPT # pingre adott valaszt beengedjuk ipchains -A bad-if -p icmp --icmp-type pong -j ACCEPT # minden icmp csomagot az icmp-acc lancra kuldunk ipchains -A bad-if -p icmp -j icmp-acc # minden egyeb megmaradt csomagot elutasitunk es logolunk # ipchains -A bad-if -j DENY -l ipchains -A bad-if -j REJECT -l # bad-if vege ################## # good-if lanc # mindent engedunk ipchains -A good-if -j ACCEPT # good-if vege ################# # az icmp-acc lanc # minden icmp hiba uzenet engedese ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT #az icmp-acc lanc vege ################# -------------------------------------------------------- Bocs hogy beideztem a scriptemet. :) (Akinek kell hasznalja fel.) Szoval mi "kell/nem kell" a zorpnak? Bye! ---------------------- Linux RedHat 6.2/7.1 ----------------------