Lassan kedvenc témámmá válik az iptables. Bár összetákoltam egy látszólag megfelelő tűzfal szabályt, de nem vagyok teljesen elégedett vele.
Elsősorban az zavar, hogy sok részét még nem értem, ezért elhatároztam, hogy egy újat állítok össze, sorról sorra.
Néhány kérdés kezdésnek:Elsősorban az zavar, hogy sok részét még nem értem, ezért elhatároztam, hogy egy újat állítok össze, sorról sorra.
1. Többféle változatot láttam az alap Policy beírásának az elhelyezésére.
(Pl.: $IPTABLES INPUT DROP)
Ezt láttam már az elején együtt:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Látttam a láncok végén külön is.Akkor most melyik jó?
Ha az elején rögtön DROP van, akkor hogyan megy tovább. Vagy a lánc szabályait értelmezi először és ha nem felel meg egyiknek sem, akkor veszi az alap Policy-t?
2. Mi a helyzet, ha dinamikus IP címem van és mégis szeretnék IP cím alapján is szűrést csinálni. Biztos van erre is módszer. Egyáltalán kell ilyen alapon szűrni?
3. Ha egyedülálló otthoni gépről van szó, akkor elég az alap láncban szabályokat létrehozni és nem kell saját láncot kreálni. Jól értem?
4. Modulok... honnan lehet megtudni, hogy kellenek-e? Több helyen láttam egy sort az ftp követő modulról ($MODPR ip_conntrack_ftp), meg hogy ez behúzza a többit... és ha ez szükséges, akkor az elejére kell-e a modprobe helyének meghatározása? (MODPROBE=/sbin/modprobe)
5. És persze rengeteg példa van tele olyan sorokkal, aminek céljáról még lövésem sincs.
Hát ilyen és még hasonló kérdéseim van (elsősorban magamhoz). Ezeket és a menet közben felmerült továbbiakat próbálom megválaszolni következő iptables bejegyzéseimben.
SP
Ha az elején rögtön DROP van, akkor hogyan megy tovább. Vagy a lánc szabályait értelmezi először és ha nem felel meg egyiknek sem, akkor veszi az alap Policy-t?
2. Mi a helyzet, ha dinamikus IP címem van és mégis szeretnék IP cím alapján is szűrést csinálni. Biztos van erre is módszer. Egyáltalán kell ilyen alapon szűrni?
3. Ha egyedülálló otthoni gépről van szó, akkor elég az alap láncban szabályokat létrehozni és nem kell saját láncot kreálni. Jól értem?
4. Modulok... honnan lehet megtudni, hogy kellenek-e? Több helyen láttam egy sort az ftp követő modulról ($MODPR ip_conntrack_ftp), meg hogy ez behúzza a többit... és ha ez szükséges, akkor az elejére kell-e a modprobe helyének meghatározása? (MODPROBE=/sbin/modprobe)
5. És persze rengeteg példa van tele olyan sorokkal, aminek céljáról még lövésem sincs.
Hát ilyen és még hasonló kérdéseim van (elsősorban magamhoz). Ezeket és a menet közben felmerült továbbiakat próbálom megválaszolni következő iptables bejegyzéseimben.
SP
Utolsó kommentek