Stavi da su ti default polise za sve lance DROP
Dakle, na početku fajla sa pravilima imaš ovako



_{[Ovu poruku je menjao Tyler Durden dana 23.01.2008. u 14:01 GMT+1]}

OK, zahvaljujem.

Pozdrav!!!

Mnogo efikasniji setup bi bio da napravis novi chain (iptables -N <ime>), koji nazoves PORTFILTER, gde dodas ovakva pravila:


A onda ako nekoga zelis da pustis na taj limiran net:


Pre toga samo dodaj jedan


Pretpostavljam da su korisnici iza NATa. Kad neko pokusa da uspostavi vezu, paketi se filtriraju u forwardu prema sourceu, posle u PORTFILTERu prema portu (ne zaboravi da na kraj PORTFILTERa stavis DROP!), a u povratku ce biti prihvaceni, jer su deo uspostavljene konekcije (zbog NATa se i ovako nece uspostavljati veze sa kompovima u lokalu).

Jedini problem sa ovim setupom moze biti FTP. Trebace ti par modula, kako bi i FTP radi (ip_nat_ftp, ip_conntrack_ftp).

Jos samo jedno kratko pitanje, kako da iz komandne linije podesim default gateway za interface eth0(WAN)?

Uradio sam sledece po tutorijalu http://www.elitesecurity.org/t...LL-HOWTO-Iptables-za-pocetnike

#eth0(LAN)
#eth1(WAN)


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X

# Omogućavamo NAT na eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Forvardujemo sve što dolazi na eth0(LAN) na izlaz eth1(WAN)
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

# Blokiramo sve ostalo spolja
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP


Ovo radi na Debian-u, ali me interesuje:
1. koliko je ova konfiguracija dobra kada je u pitanju zastita "od spolja" tj da li zabranjuje kompletan saobracaj INTERNET>>LAN
2. za sta sluzi parametar RELATED koji se koristi u kombinaciji sa NEW,ESTABLISHED

Znam da pitam mnogo ali zaista nemam previse iskustva sa Linux-om, imajte razumevanja ;-)

_{[Ovu poruku je menjao Ivic@ dana 25.01.2008. u 03:39 GMT+1]}

Ja bi to ovako:

Definises Policy:
iptables -P FORWARD DROP

Znaci sve je zabranjeno osim onoga sto je dozvoljeno, kod tebe je bilo obrnuto.


Radis NATovanje na spoljnu mrezu WAN:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Dodas pravila za forwardovanje spolja i iznutra:
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT



Related oznacava novu konekciju koja je povezana sa nekom vec postojecom konekcijom, npr error paketi.

Ovim si omogucio kompletan saobracaj sa LAN-a ka internetu, ako se ne varam. To nije ono sto meni treba. Ja bih zeleo da dozvolim samo odredjenim servisima i protokolima izlaz napolje(HTTP(80), HTTPS(443), DNS(tcp,udp 53)) a spolja bih sve zabranio.

To ti je pametno:


iptables -N PORTFILTER
iptables -A PORTFILTER -p tcp --dport 80 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 53 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 443 -j ACCEPT
iptables -A PORTFILTER DROP


iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j PORTFILTER
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Nisi dozvolio UDP za dns. Pretpostavljam da je potrebno dodati samo jedan red:

Nema potrebe Ivice za tim. Mnogo je bolje dignuti DNS cache na tom serveru (dnsmasq, djb-dns), pa na masinama setovati server da bude DNS.

Pravim DMZ a ovaj firewall bih postavio na prvu liniju odbrane tj direktno na ADSL ruter. DNS cache vec imam podignut na drugom linux firewall-u koji je vezan za LAN

ADSL router <------> Ovaj router <----------> Jos jedan firewall <------> LAN
Da nisi malo paranoican?

Ma jok, ADSL router radi forwarding kompletnog saobracaja na spoljni firewall. A inace u DMZ-u trebam da podignem mail server.