[zorp-hu] RE: Zorp konfiguralasa

[MG]

On 09-Oct-2001 Kis-Szabo Andras wrote:
> ipchains vagy iptables van nálad?

ipchains.

> s hogy módosítottad az ipcahis konfigod a Zorp mellé?
> 

Ez lett volna a kovetkezo kerdesem. Mit kell modositani az ipchains
szabalyaiban, hogy a zorp mellett mukodjon?

Modemes (dinamikus IP cim) kapcsolat eseten kell valamire figyelni?

Jelenleg az ipchains scriptem igy nez ki, mindent enged kifele, befele csak a
valaszcsomagokat:
#!/bin/bash
modprobe ipchains

# a ppp0 eszkoz lokalis, dinamikus IP cime (szolgaltato altal kiosztott)
PPP_LOCALIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | cut
-b6-`"

# Anti-spoofing, "forrascim hitelesites"
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done  

# IP forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# TUZFAL -- MASQ 
# A lancok letrehozasa
ipchains -N good-bad
ipchains -N bad-good
ipchains -N icmp-acc
ipchains -N bad-if
ipchains -N good-if
 
######################
# Az input lanc

# internet -> gateway forgalom a  bad-if lancra
ipchains -A input -i ppp0 -j bad-if

# good -> gateway forgalom a  good-if lancra
ipchains -A input -d 10.0.0.1 -i eth0 -j good-if
# "portszkenneles" a szerverrol mukodjon
ipchains -A input -d 10.0.0.1 -i lo -j good-if
ipchains -A input -d $PPP_LOCALIP -i ppp0 -j good-if
ipchains -A input -d $PPP_LOCALIP -i lo -j good-if

# Loopback engedelyezese
ipchains -A input -s 127.0.0.1 -j ACCEPT

# Minden good-tol jovo am nem a gw-nek szolo csomag engedese
ipchains -A input -i eth0 -j ACCEPT

# Minden egyeb tiltasa
ipchains -A input -j DENY -l

# input lanc vege  
######################
# A forward lanc

# belso halo(good) -> internet(bad) forgalom a good-bad lancra kerul
ipchains -A forward -s 10.0.0.0/8 -i ppp0 -j good-bad 

# internet -> belso halo forgalom a bad-good lancra kerul
ipchains -A forward -i eth0 -j bad-good

# minden mas ( ilyen nem fordulhat elo tiltva vagyon es loggolasra kerul)
ipchains -A forward -j DENY -l

# forward vege
#####################
# bad-good lanc

#csak a valasz csomagokat engedjuk be ezeket a kernel maszkolja es 
#nem kerulnek a forward lancra
# minden egyeb megmaradt csomagot elutasitunk es logolunk
ipchains -A bad-good -j DENY -l  

# bad-good lanc vege
####################
# good-bad lanc

# minden kimeno csomagot engedunk, de tehetunk korlatozasokat
ipchains -A good-bad -j MASQ

# good-bad vege
###################
# bad-if lanc

# elfogadjuk a masquerade-ált csomagok válaszait
ipchains -A bad-if -p TCP --dport 61000:65096 -j ACCEPT
ipchains -A bad-if -p UDP --dport 61000:65096 -j ACCEPT
# minden  DNS udp valaszat elfogadjuk
ipchains -A bad-if -p udp -s 0/0 domain -j ACCEPT 

#minden tcp valaszcsomag bejohet
ipchains -A bad-if -p tcp ! -y -j ACCEPT 

# pingre adott valaszt beengedjuk
ipchains -A bad-if -p icmp --icmp-type pong -j ACCEPT

# minden icmp csomagot az icmp-acc lancra kuldunk
ipchains -A bad-if -p icmp -j icmp-acc

# minden egyeb megmaradt csomagot elutasitunk es logolunk
# ipchains -A bad-if -j DENY -l
ipchains -A bad-if -j REJECT -l

# bad-if vege
##################
# good-if lanc

# mindent engedunk
ipchains -A good-if -j ACCEPT

# good-if vege
#################
# az icmp-acc lanc

# minden icmp hiba uzenet engedese
ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

#az icmp-acc lanc vege
#################
 
--------------------------------------------------------

Bocs hogy beideztem a scriptemet. :)  (Akinek kell hasznalja fel.)
Szoval mi "kell/nem kell" a zorpnak?

Bye!
----------------------
Linux RedHat 6.2/7.1
----------------------