Problemik IPchains - ciąg dalszy...

[Marek Guevara Baun]

Home1 wrote:
> 
> ipchains -F input
> ipchains -F output 
> ipchains -F forward
> ipchains -P input ACCEPT
> ipchains -P output ACCEPT
> ipchains -P forward DENY

Domyślnie akceptujemy pakiety na INPUT i OUTPUT.

> # IP
> ip=moje publiczne ip
> ip1=adres ip admina /telnet/
> 
> # FLUSH
> ipchains -A input -p tcp -s 0/0 1024:65535 -d ${ip} 1:65535 -j DENY -i eth0

Odrzucamy wszystkie pakiety TCP do nas, kierowane z portów 1024:65535
(jak na razie te z 1:1023 przechodzą) na eth0.

> ipchains -A output -p tcp -s 0/0 1024:65535 -d ${ip} 1:65535 -j DENY -i eth0

Odrzucamy wszystkie pakiety TCP *wychodzące* od nas (z dowolnym adresu
source) kierowane *do nas* (???) na eth0.

> # PERMINT ... ciach ....
> # 3389 dozwolone
> ipchains -A input -p tcp -s 195.117.30.196 1024:66565 -d ${ip} 3389 -j ACCEPT

Akceptujemy (na dowolnym interfejsie) pakiety TCP z adresu
195.117.30.196 (z portów 1024:66565) kierowane na nasz ip na port 3389,
ale pamiętamy, że pakiety takie dla interfejsu eth0 zostaną odrzucone
przez pierwszą regułkę (FLUSH) -- przesuń to na początek lub zmień
pierwszy wpis.

> ipchains -A input -p tcp -s 0/0 -d ${ip} 3389 -j DENY

Odrzucamy ....

Polecam ustawienie DENY na INPUT i OUTPUT, a na koniec regułek dodać:

ipchains -A input -j DENY -l
ipchains -A output -j DENY -l
ipchains -A forward -j DENY -l

Marek