MarinerHali mindenki... kérdeznék.. h lássuk jól értem e a dolgokat... a célom az lenne h mindent tiltsak ki/be/át és csak azok menjenek amit kiengedek...
ha pl olyat irok, hogy
iptables -A INPUT -p tcp --dport 65535 -j ACCEPT
Akkor beengedi a a 65535 -ös tcp portot az egész rendszernek? ergo a hálózat többi tagjának is elérhető lesz ez a port ha a forwardot ugy csinálom meg h minden átmenjen a lan fele néző kártyán?
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
eth0 = Lan fele néző kártya
eth1 = Net fele néző kártya
és ha
iptables -A OUTPUT -p tcp --dport 65535 -j ACCEPT
ezzel meg azt érem el h ki legyen engedve a 65535 -ös tcp port?
ÉS mire jó a pre/postrouting és a forward ez nem ugyanaz mint amit az elöbb irtam a forwardhoz?
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
és hogy lehet azt megcsinálni h a tűzfal szabály ne vonatkozzon a kliensekre, magyarul irok egy szabályt a szerver gépre amivel netet is szeretnék megosztani és azt szeretném ha ezek a szabályok nem vonatkoznának a kliensekre, ergo ami jön / megy eth0 -ra az egyből menjen eth1 -re...
vagy hogy lehet azt h ki szeretnék nyitni egy portot a kliens számára de nem szeretném h az a szervernek is nyitva legyen...
na szóval ilyen kérdéseim lennének... és sehol nincsenek példákkal aláfektetve a kérdéseimre a válaszok... igy nem is értem az egészet főleg mert rohadtul érdekes működik minden.. itt a tűzfalam:
#!/bin/bash
###Loading modules###
modprobe ip_conntrack_ftp
echo "Modulok betöltése.....[ OK ]"
###Flushing all rules###
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Szabályok törlése.....[ OK ]"
###Set the default policy###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "Alap szabályok beállítása.....[ OK ]"
###Allow unlimited traffic on loopback###
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Forgalom engedélyezése a Localhoston.....[ OK ]"
###Masking, Net sharing###
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ifconfig eth0 192.168.0.1
/etc/init.d/dhcp3-server force-reload
echo "Internet megosztás beállítása.....[ OK ]"
###Define INPUT Rules###
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alaprendszerhez szukseges portok
iptables -A INPUT -p udp --dport 68 --sport 67 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53,123,161,5353,1900 -j ACCEPT
# Messenger portok(MSN, others need to add)
iptables -A INPUT -p udp -m multiport --dport 6891:6900,6901 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 1863,6891:6900,6901 -j ACCEPT
# EXTRA Rendszerhez szukseges portok, Szerver portok
iptables -A INPUT -p tcp -m multiport --dport 20,21,80,139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 137,138 -j ACCEPT
# Log
iptables -A INPUT -j LOG --log-prefix „INPUT_DROP:”
iptables -A INPUT -j DROP
echo "Bejövő kapcsolatok szabályozása.....[ OK ]"
###Define OUTPUT Rules###
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alaprendszerhez szukseges portok
iptables -A OUTPUT -p tcp --sport 68 --dport 67 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 80,443,25,465,143,993,110,995 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 53,5353,123,161,1900 -j ACCEPT
# Messenger portok(MSN, others need to add)
iptables -A OUTPUT -p udp -m multiport --dport 6891:6900,6901 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 1863,6891:6900,6901 -j ACCEPT
# EXTRA Rendszerhez szukseges portok, Szerver portok
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,139,445 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 137,138 -j ACCEPT
# Log
iptables -A OUTPUT -j LOG --log-prefix „OUTPUT_DROP:”
iptables -A OUTPUT -j DROP
echo "Kimenő kapcsolatok engedélyezése.....[ OK ]"
###Define FORWARD Rules###
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
echo "Hálózat beállítása.....[ OK ]"
ez elvileg akkor ugy működik h minden tiltva van csak azok nem amiket külön engedélyeztem és a kliensek számra is ugyanez van... minden megy-jön de azok nem amik a szerveren nincsenk engedélyezve.. ezzel szemben mégse igy megy mivel kipróbáltam h ha kiveszem az MSN portokat akkor is be lehetett a kliens gépeken jelentkezni MSN-el. pedig elvileg lehetetlen lett vna... ha meg beirok egy portot INPUT -ba pl 65535 -öt a Utorrent számára akko hiába irom be akkor sem lesz aktiv a uTorrent ... szóval nem értem ezt az egészet... vagy hibás az iptables?
Előre is köszi a válaszokat...