Nem akarom az eredeti bejegyzést Kínáig írni, ezért itt egy új, az eddig megtudottakkal:
Először is idézet az iptables man-ból:
Interfész meghatározása
Az "-i" (vagy "--in-interface") és az "-o" (vagy "--out-interface") kapcsolók egy interfész nevével való egyezést határoznak meg. Az interfész a fizikai eszköz, melyen keresztül a csomag bejön ("-i") vagy kimegy ("-o"). "Fent" levő interfész megtekintésére az ifconfig parancs használható ("fent" levőnek a pillanatnyilag működő interfészt tekintjük).
Az INPUT láncra érkező csomagoknak nincs kimeneti interfészük ("-o"), ezért az INPUT láncon ilyen szabály semmilyen csomagra nem fog illeszkedni. És hasonlóképp, az OUTPUT láncon kimenő csomagok bemeneti interfésszel nem rendelkeznek ("-i"), ezért ezen a láncon az "-i" kapcsolókkal meghatározott szabályokra nem fog illeszkedni csomag.
Tehát az INPUT láncban -i eth0, az OUTPUT láncban -o eth0 a helyes!
Volt két gépelési hiba (vesszők rossz helyen), ezeket javítottam.
A javított firewall szkriptet bemásoltam, futtathatóvá tettem... stb.
Utána gondoltam kitörlöm az előző cuccokat:
root:~# iptables -X
root:~# iptables -Z
root:~# iptables -F
Újra futtattam a szkriptet terminalból:root:~# /usr/sbin/my_firewall
iptables v1.3.5: Bad state `'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ESTABLISHED,RELATED'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `NEW,ESTABLISHED,RELATED'
Try `iptables -h' or 'iptables --help' for more information.
Szóval valami nem tetszik neki a NEW,ESTABLISHED,RELATED argumentummal, de mi?Megnéztem, hogy mit listáz ki az iptables -L:
root:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP all -- 192.168.0.0/16 anywhere
DROP all -- 172.16.0.0/12 anywhere
DROP all -- 10.0.0.0/8 anywhere
DROP all -- 255.0.0.0/8 anywhere
DROP all -- 0.0.0.0/8 anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere multiport dports ftp-data,ftp,ssh,smtp,domain,http,pop3,https,
smtps,pop3s,msnp,36013 state NEW,ESTABLISHED
ACCEPT udp -- anywhere anywhere multiport dports ftp-data,ftp,ssh,smtp,domain,https state NEW,ESTABLISHED
És persze nem enged ki a netre.Valami ezzel az ESTABLISHED... stb résszel nem stimmel, szóval most irány arra.
Kezd tetszeni ez a "csata". Majd a végén eldől, hogy ki nyer! --> ÉN
SP
Utolsó kommentek