[zorp-hu] ipchains konfig zorphoz

MG makgab@freemail.hu
Sat, 13 Oct 2001 12:25:38 +0200 (CEST) 

Hi!

Egy kicsit elkapkodtam a konfigot... :)
Szoval meg1x, hogy mit is akarok. Van egy halozat 10.0.0.0/24, nincs DMZ. A
10.0.0.1 a szerver ami modemen kapcsolodik a netre, ez lenne a tuzfal. Ezen fut
meg DNS a helyi halonak, SMTP (sendmail). Azt szeretnem, ha a 10.0.0.1-en levo
tuzfal megvedene a nettol. :)  Szoval a helyi halobol minden gep kimehet,
kintrol viszont semmi ne tudjon bejonni (leszamitva a valaszcsomagokat).

Szoval eloszor is ehhez kellene egy ipchains konfig. Namarmost... ehhez eddig
az ipchains maszkolt es azt mondtatok zorp-nal nem kell maszkolas. Gondolom o
csinalja...

Szoval igy nez ki most a tervezett ipchains konfig, tudom meg nem jo, de hol
kellene javitani:
#!/bin/bash
#
modprobe ipchains
# Anti-spoofing, "forrascim hitelesites", maszkolas nincs.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done

# alap policy, az input lancon szurok:
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward ACCEPT

# www, ftp, ssh, smtp, dns, pop3 portok atkuldese a zorp adott portjaira:
ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 80 -j REDIRECT 50080
ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 21 -j REDIRECT 50021
ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 22 -j REDIRECT 50022
ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 25 -j REDIRECT 50025
ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 110 -j REDIRECT 50110
# internet felol erkezo valaszcsomagok beengedese ( "! -y" : nem SYN, azaz nem
kapcsolatkezdemenyezo csomag):
ipchains -A input -p tcp -s 0/0 80 ! -y -j REDIRECT 50080
ipchains -A input -p tcp -s 0/0 21 ! -y -j REDIRECT 50021
ipchains -A input -p tcp -s 0/0 22 ! -y -j REDIRECT 50022
ipchains -A input -p tcp -s 0/0 25 ! -y -j REDIRECT 50025
ipchains -A input -p tcp -s 0/0 110 ! -y -j REDIRECT 50110
# ICMP csomagok beengedese internet felol:
ipchains -A input -p icmp --icmp-type destination-unreachable -s 0/0 -j ACCEPT
ipchains -A input -p icmp --icmp-type source-quench -s 0/0 -j ACCEPT
ipchains -A input -p icmp --icmp-type time-exceeded -s 0/0 -j ACCEPT
ipchains -A input -p icmp --icmp-type parameter-problem -s 0/0 -j ACCEPT
# DNS csomagok (53 port) engedese kivulrol es belulrol:
ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT
ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT

# minden egyeb csomag tiltasa es logolasa:
ipchains -A input -j REJECT -l

# end of ipchains script file.
# --------------------------------------

Az icmp csomagokat a zorpon hol kellene atengednem? Az ACCEPT-ekben nem vagyok
benne biztos hogy jok. Ezeket maszkolni kellene, nem?
A DNS (53-as port) csomagjait is a zorp-ra kellene kuldeni, nem? Please help!!

Bye!
----------------------
Linux RedHat 7.1
----------------------