przy czym lekko zmienilem punkt:# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
tam gdzie jest ip.ip.ip.ip wstawilem wewnetrzne IP routera czyli 10.0.1.1, w przeciwnym razie porty 22, 80 byly zablokowane dla komputerow podlaczonych do switcha (eth1), a nie chce otwierać jakichkolwiek portów na zewnątrz stąd nie wpisałem nic z ACCEPT dotyczącego IP zewnetrznego (tego co ma eth0).Zapisujemy plik. Zamiast ip.ip.ip.ip wpisujemy IP zewnętrzne naszego serwera.
Jednak zauważyłem z innego komputera że mam otwarte zewnetrzne porty 80, 21 (jakim cudem?!!) oraz pinga. Być może dlatego że wcześniej próbowalem innych tutoriali.
Jak mam teraz zablokować zewnetrzne porty podczas gdy wstawka (o ftp) do firewalla nic nei daje:
iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
co gorsze po odinstalowaniu serwera ftp, caly czas jest ten port widoczny jako otwarty?!
prosze o pomoc
[ Dodano: 2007-04-02, 11:16 ]
zanim skonfigurowalem iptables za pomoca artykulu
http://dug.net.pl/texty/masq.php
to przeszedlem konfiguracje z
http://pl.wikipedia.org/wiki/Iptables
gdzie kilka polecen spowodowalo otworzenie portu 21 oraz pinga ze świata na router...
Teraz mam problem bo nie moge portu 21 zablokowac np poleceniem
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p udp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IPZEWNETRZNE -p udp --dport 21 -j DROP
Mam wrazenie ze jezeli NIE otworzylem ftp poleceniem
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j ACCEPT
tylko tym:
iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 21 -j ACCEPT
to nie moge zamnkac tez i tym:
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
dalej nie wiem jak zamknąć port 21...