DionysosDale Skrevet 20. mai 2005 Skrevet 20. mai 2005 Har en gentoo boks som eg bruker som filserver hjemme. Ønsker nå å bruke den samme boksen til å dele ut adsl linja mi. Er det noen som har et bra firewall skript med gode kommentarer/dokumentasjon? * Nettverket mitt har følgende spesifikasjon * Tele2 ADSL modem med DHCP * Server med Gentoo og tre nettverkskort Regler i brannmuren 1. Klientmaskiner som skal ha tilgang til dei vanligste portene ut mot internet 2. Skal åpne opp porter for web, pop3 og ftp inn mot selve serveren 3. NATing av interne addresser
franksun Skrevet 20. mai 2005 Skrevet 20. mai 2005 kan paste mitt. rediger det etter ønske, du skjønner sikkert hva det bestyr. frank@brick:~$ cat /etc/init.d/rc.firewall ip link set ppp0 name eth0 #route add default gw 85.166.192.0 iptables -F #FLUSH SETTINGS iptables -F -t nat #FLUSH NAT-SETTINGS # iptables -A INPUT -i lo -p all -j ACCEPT #ALLOW SELF-ACCESS FROM LO iptables -A OUTPUT -o lo -p all -j ACCEPT # # iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT #ALLOW SSH FROM LOCALNET # iptables -A INPUT -p tcp -i ppp0 --dport 143 -j ACCEPT #ALLOW SSH TO PARANOID #iptables -A INPUT -p tcp -i ppp0 --dport 1337 -j ACCEPT #ALLOW DCC-SEND # # iptables -t nat -A POSTROUTING -s 10.0.0.255/255.0.0.0 -o ppp0 -j MASQUERADE #TURN ON MASQUARADING # #iptables -t nat -A PREROUTING -s \! 10.0.0.1/24 -p tcp --dport 1337 -j DNAT --to-destination 10.0.0.2 #DCC SEND # iptables -t nat -A PREROUTING -s \! 10.0.0.1/24 -p tcp --dport 143 -j DNAT --to-destination 10.0.0.1 #SSH iptables -A FORWARD -p tcp -s 217.168.83.114 --dport 143 -j ACCEPT #ALLOW FROM SCHOOL #iptables -A FORWARD -p tcp --dport 143 -j DROP #DROP ALL ELSE # iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.1/255.255.0.0 -d 10.0.0.1 -j SNAT --to 10.0.0.9 #ENABLE NAT iptables -A FORWARD -s 10.0.0.1/255.255.0.0 -d 10.0.0.1 -i eth1 -o eth1 -p tcp --dport 3128 -j ACCEPT #REROUTE PROXY iptables -t nat -A PREROUTING -i eth1 -s ! 10.0.0.1 -p tcp --dport 80 -j DNAT --to 10.0.0.1:3128 #REROUTE PROXY #iptables -A FORWARD -s 10.0.0.1/255.255.0.0 -d 10.0.0.1 -i eth1 -o eth1 -p tcp --dport 10026 -j ACCEPT #iptables -t nat -A PREROUTING -i eth1 -s ! 10.0.0.1 -p tcp --dport 25 -j DNAT --to 10.0.0.1:10026 #iptables -A FORWARD -s 10.0.0.1/255.255.0.0 -d 10.0.0.1 -i eth1 -p tcp --dport 587 -j ACCEPT #iptables -t nat -A PREROUTING -i eth1 -s ! 10.0.0.1 -p tcp --dport 587 -j DNAT --to 10.0.0.1:10026 # iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #ALLOW ICMP-TYPE 3 iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT #ALLOW ICMP-TYPE 11 iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT #ALLOW ICMP-TYPE 12 iptables -A INPUT -p icmp -j DROP #DROP ALL ICMP-TYPES ELSE THAN SPECIFIED # #iptables -P INPUT DROP #DROP EVERYTHING ELSE THAN SPECIFIED
DionysosDale Skrevet 20. mai 2005 Forfatter Skrevet 20. mai 2005 Takker... skal se på det og teste det Dionysos
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå