[zorp-hu] ipchains konfig zorphoz

Magosanyi Arpad mag@bunuel.tii.matav.hu
Sat, 13 Oct 2001 21:28:37 +0200 

A levelezőm azt hiszi, hogy MG a következőeket írta:
> 
> Hi!
> 
> Egy kicsit elkapkodtam a konfigot... :)
> Szoval meg1x, hogy mit is akarok. Van egy halozat 10.0.0.0/24, nincs DMZ. A
> 10.0.0.1 a szerver ami modemen kapcsolodik a netre, ez lenne a tuzfal. Ezen fut
> meg DNS a helyi halonak, SMTP (sendmail). Azt szeretnem, ha a 10.0.0.1-en levo
> tuzfal megvedene a nettol. :)  Szoval a helyi halobol minden gep kimehet,
> kintrol viszont semmi ne tudjon bejonni (leszamitva a valaszcsomagokat).
> 
> Szoval eloszor is ehhez kellene egy ipchains konfig. Namarmost... ehhez eddig
> az ipchains maszkolt es azt mondtatok zorp-nal nem kell maszkolas. Gondolom o
> csinalja...

Hi!

Én azt szoktam, hogy az rp_filteren kívül biztos ami biztos csinálok 
antispoof chaint is. Ezen kívül van egy zajredukáló chainem, amin a
papagály protokollok logolás nélkül szűrődnek ki (ezen kívül minden dropot
logolok).
Mindezek után interface-enként szoktam nyomni a chaineket, egyet azokra,
amik direktben az interface-t címzik, egyet pedig a transzparensekre. Onnan
pedig rendszerenként teszem át. A rendszerspecifikus chaineket pedig
a Zorp tölti. Iptablesben a transzparens és rendszerspecifikus chainek,
a spoof és a zajredukció a preroutingban van, a lokális pedig az inputban,
ugyanúgy mint ipchainsnél.

A default policy inputnál és forwardnál deny, outputnál accept,
iptablesnél a fentieken kívül a prerouting drop, a postrouting és a 
natos output accept.
Mint mondtam minden amit dropolok acceptre kerül. Majdnem minden chain
végén van "catchall" rule, ami mindent dob és logol.

ipchainshez ipchains-save -et és ipchains-restore-t használok,
egy cpp szerű preprocesszorral előtte (Bazsiéknak is van egy ilyenjük asszem),
iptablesnél egyelőre maradok a shell scriptnél, a preporcesszor ott
is figyel

A betöltéshez van egy script ami gondoskodik arról hogy nagyon hülyének
kelljen lenni ahhoz hogy kizárjam magam, és az automatán töltött chaineket
is rendesen húzza.

Eszembe jutott egyetemi géptan tanárom elhíresült mondása, amit azután tett,
hogy egy tipikus lejtőncsúszik alappéldát másfél óra kemény munkával megoldott:
"Azért ha komoly statikai méretezést csinálnának, bízzák gépész szakemberre!"

> 
> Szoval igy nez ki most a tervezett ipchains konfig, tudom meg nem jo, de hol
> kellene javitani:
[konfig]

-- 
GNU GPL: csak tiszta forrásból