iptables

[Daniel 'bonkey' Bauke]

poniedziałek, 26. listopad. Stacho Pal pisze:

> Hmm, chodzi o filter-0.5-1 ?? 
owszem

> Przyznam że nie bardzo wiem do czego może się przydać
> i gdzie/po co można go podpiąć.
z pliku simple.conf o zawartosci:
   input eth0 { proto tcp dport ssh accept; drop; };
petelką:
   for i in iptables ipchains cisco ; filtergen simple.conf $i
otrzymujemy np. (troche uproscilem wynik):
   for f in INPUT OUTPUT FORWARD; do iptables -P $f DROP; done
   iptables -F; iptables -X
   iptables -t nat -F; iptables -t nat -X
   iptables -A INPUT -i eth0 -p tcp -m state --state \
      NEW,ESTABLISHED --dport ssh -j ACCEPT
   iptables -A OUTPUT -o eth0 -p tcp -m state --state \
      ESTABLISHED ! --syn --sport ssh -j ACCEPT
   iptables -A INPUT -i eth0 -j DROP
   for f in INPUT OUTPUT FORWARD; do iptables -A $f -j LOG; done

   ipchains -A input -i eth0 -p tcp --dport ssh -j ACCEPT
   ipchains -A output -i eth0 -p tcp ! --syn --sport ssh -j ACCEPT
   ipchains -A input -i eth0 -j DROP

   access-list eth0-IN permit tcp any any any eq ssh
   access-list eth0-OUT permit tcp any any eq ssh any established
   access-list eth0-IN deny ip any any

-- 
Daniel `bonkey' Bauke; http://bonkey.hn.org; {happiness=bike&&unix;}