Mostanában kissé leültek a fórumok, úgyhogy most itt is rögzítem azt a néhány kérdésemet, ami iptables témában felmerült, nehogy elfelejtsem:
Jön még a fragmented csomagok szűrése:
És hát persze a log kérdése.
Most akkor egy kis iptables búvárkodás következik, azért azt hiszem, hogy még néhány fórumon felvetem ezt a kérdést.
SP
Ha ilyen sor van a szkriptben, akkor kell-e az utána következő kettő sor?iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Azt gondolom, hogy ha az interfész alapján már szűrtük az ESTABLISHED csomagokat, akkor udp és tcp szerint ugyanez már duplázás lenne.
iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
DHCP feltétlenül kell? (anélkül is ment - elvileg dinamikus IP, de statikus beállítással működik)iptables -A INPUT -i etho -p tcp --sport 68 -j ACCEPT
Ha ilyen sor van az INPUT-ban:
iptables -A INPUT -i etho -p udp --sport 68 -j ACCEPTiptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
és ilyen az OUTPUT-ban:akkor kellenek-e ezek:iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 20,21,22,25,53,67,80,110,443,465,995,1024,1863,36013 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
...a magam amatőr módján úgy gondolom, hogy ha INPUT-ban engedélyeztük az ESTABLISHED és RELATED módot, valamint az OUTPUT-ban a megfelelő interfészre és portokra ACCEPT, akkor külön ezt már nem kell szabályozni.
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
A csomagszűrő HOWTO-ban olvastam ezt:
Példánk szerint a következő szabály valamennyi 192.168.1.1 IP-címre érkező töredéket eldob:iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
Ez biztos, hogy OUTPUT? Nem INPUT kellene, hogy legyen?
Jön még a fragmented csomagok szűrése:
iptables -A INPUT -f -i eth0 -j DROP
Meg ide másolom az egyik hozzászólásomat is, csak hogy egy helyen legyenek az aktuális kérdéseim:...a hálózat felépülése és a tűzfal szabályunk érvényesülése előtt hogyan lehet védeni a gépet (egyáltalán mi marad a rendszerben, ha leállunk). Egy háttéranyag arról ír, hogy érdemes a boot idejére egy másik szkriptet betöltetni, ami mindent tilt és azután az induló szkriptünk majd törli (iptables -F). Én inkább azon gondolkodom, hogy a leálláskor hogyan lehetne törölni a mi szabályunkat, mert ugye az alap policy DROP és ha ez marad addig, amíg a miénk elindul, akkor kb. ugyanezt értük el. Ha jól gondolom...
És hát persze a log kérdése.
Most akkor egy kis iptables búvárkodás következik, azért azt hiszem, hogy még néhány fórumon felvetem ezt a kérdést.
SP
Utolsó kommentek