|
|
 | forslag til routning af bestemte porte på ~
Fra : Jacob Christensen |
Dato : 21-12-04 13:58 |
|
Hej NG !
jeg har en Linux (redhat) maskine med 2 netkort, som jeg bruger som
intern router mellem 2 net. I dag har jeg bare aktiveret IP_forward og
det virker sådan set også udemærket, men jeg kunne godt tænke mig at
begrænse trafikken til kun at gælde udvalgte porte og også stoppe
broadcasts. jeg er helt ny på linux området, så jeg har brug for jeres
hjælp til at kommentere på om nedenstående vil virke, eller om der er en
bedre måde at gøre det på:
mit forslag til et script:
# stop IP forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
# luk for broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# slet alle iptables regler
iptables --flush
# luk for al IP trafik
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP
# åbn for port 23 gennem begge net
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 23 -j ACCEPT
iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -p tcp --sport 23 -j ACCEPT
# åbn for port 449 gennem begge net
iptables -A INPUT -p tcp --dport 449 -j ACCEPT
iptables -A INPUT -p tcp --sport 449 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 449 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 449 -j ACCEPT
iptables -A FORWARD -p tcp --dport 449 -j ACCEPT
iptables -A FORWARD -p tcp --sport 449 -j ACCEPT
# åbn for portene fra 8470 til 8480 gennem begge net
iptables -A INPUT -p tcp --dport 8470:8480 -j ACCEPT
iptables -A INPUT -p tcp --sport 8470:8480 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8470:8480 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8470:8480 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8470:8480 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8470:8480 -j ACCEPT
# start IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
| |
 Steen Suder, privat (21-12-2004)
| Kommentar
Fra : Steen Suder, privat |
Dato : 21-12-04 16:53 |
|
Jacob Christensen wrote:
> Hej NG !
>
> jeg har en Linux (redhat) maskine med 2 netkort, som jeg bruger som
> intern router mellem 2 net. I dag har jeg bare aktiveret IP_forward og
> det virker sådan set også udemærket, men jeg kunne godt tænke mig at
> begrænse trafikken til kun at gælde udvalgte porte og også stoppe
> broadcasts. jeg er helt ny på linux området, så jeg har brug for jeres
> hjælp til at kommentere på om nedenstående vil virke, eller om der er en
> bedre måde at gøre det på:
>
> mit forslag til et script:
>
> # stop IP forwarding
> echo 0 > /proc/sys/net/ipv4/ip_forward
>
> # luk for broadcasts
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
> # slet alle iptables regler
> iptables --flush
>
> # luk for al IP trafik
> iptables --policy INPUT DROP
> iptables --policy OUTPUT DROP
> iptables --policy FORWARD DROP
>
> # åbn for port 23 gennem begge net
> iptables -A INPUT -p tcp --dport 23 -j ACCEPT
> iptables -A INPUT -p tcp --sport 23 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 23 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
> iptables -A FORWARD -p tcp --sport 23 -j ACCEPT
....
> # start IP forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
INPUT og OUTPUT gælder for trafik til og fra maskinen "selv", ikke den
trafik, der FORWARDes.
Derudover ser det fint ud.
--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.
| |
|
|