Hi! Egy kicsit elkapkodtam a konfigot... :) Szoval meg1x, hogy mit is akarok. Van egy halozat 10.0.0.0/24, nincs DMZ. A 10.0.0.1 a szerver ami modemen kapcsolodik a netre, ez lenne a tuzfal. Ezen fut meg DNS a helyi halonak, SMTP (sendmail). Azt szeretnem, ha a 10.0.0.1-en levo tuzfal megvedene a nettol. :) Szoval a helyi halobol minden gep kimehet, kintrol viszont semmi ne tudjon bejonni (leszamitva a valaszcsomagokat). Szoval eloszor is ehhez kellene egy ipchains konfig. Namarmost... ehhez eddig az ipchains maszkolt es azt mondtatok zorp-nal nem kell maszkolas. Gondolom o csinalja... Szoval igy nez ki most a tervezett ipchains konfig, tudom meg nem jo, de hol kellene javitani: #!/bin/bash # modprobe ipchains # Anti-spoofing, "forrascim hitelesites", maszkolas nincs. for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done # alap policy, az input lancon szurok: ipchains -P input ACCEPT ipchains -P output ACCEPT ipchains -P forward ACCEPT # www, ftp, ssh, smtp, dns, pop3 portok atkuldese a zorp adott portjaira: ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 80 -j REDIRECT 50080 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 21 -j REDIRECT 50021 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 22 -j REDIRECT 50022 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 25 -j REDIRECT 50025 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 110 -j REDIRECT 50110 # internet felol erkezo valaszcsomagok beengedese ( "! -y" : nem SYN, azaz nem kapcsolatkezdemenyezo csomag): ipchains -A input -p tcp -s 0/0 80 ! -y -j REDIRECT 50080 ipchains -A input -p tcp -s 0/0 21 ! -y -j REDIRECT 50021 ipchains -A input -p tcp -s 0/0 22 ! -y -j REDIRECT 50022 ipchains -A input -p tcp -s 0/0 25 ! -y -j REDIRECT 50025 ipchains -A input -p tcp -s 0/0 110 ! -y -j REDIRECT 50110 # ICMP csomagok beengedese internet felol: ipchains -A input -p icmp --icmp-type destination-unreachable -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type source-quench -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type time-exceeded -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type parameter-problem -s 0/0 -j ACCEPT # DNS csomagok (53 port) engedese kivulrol es belulrol: ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT # minden egyeb csomag tiltasa es logolasa: ipchains -A input -j REJECT -l # end of ipchains script file. # -------------------------------------- Az icmp csomagokat a zorpon hol kellene atengednem? Az ACCEPT-ekben nem vagyok benne biztos hogy jok. Ezeket maszkolni kellene, nem? A DNS (53-as port) csomagjait is a zorp-ra kellene kuldeni, nem? Please help!! Bye! ---------------------- Linux RedHat 7.1 ----------------------