LINUX.ORG.RU
ФорумAdmin

firewall в linux


0

0

В FreeBSD можно создать такие правила:
ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state

подскажите как реализовать такое на iptables в Linux (Suse ) ????


Ответ на: комментарий от anonymous

Попробую по-русски (просто не умею я по-русски)..... есть локалка и шлюз, который просто роздает инет (squid, NAT и больше ничего ..), никаких сервисом на нем нет, в локалке на машынам з адресами 192.168.100.0/24 должны быть HTTP, FTP, ICQ, SMTP, POP3 ... нужно защитить локалку и сам шлюз (LINUX Suse), чтоб никто не смог проникнуть из инета в локалку .....

может быть подойдут правила типа: для шлюза: iptabels -A OUTPUT -p TCP --syn -j ACCEPT

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p TCP -j DROP

и что-то такое для локалных маншын только уже в цепочке FORWARD

vova07
() автор топика

если изначально в /proc/sys/net/ipv4/ip_forward записан 0, то при любых разрешающих правилах iptables для цепочки FORWARD ни один пакет между сетевыми интерфейсами не пройдет.

Vlad_Ts ★★★★★
()
Ответ на: комментарий от vova07

в дистрибутиве openvpn есть неплохой пример правил для iptables, что-то вроде firewall.sh

anonymous
()

если это СуСе посмотри в ясте Security and Users Firewall. Пару дней назад настраивал, пока все пучком.

anonymous
()
Ответ на: комментарий от vova07

imho
>ipfw add check-state
>ipfw add deny tcp from any to any established
>ipfw add allow tcp from my-net to any setup keep-state
в мане по ipfw написано что эта штука:
protect a site from flood attacks involving fake TCP packets
кто нить знает что это значит??? т.е. каким образом меня пакет,
можно зафлудить. я думал это завист от количества а не от качества пакетов.

а вообще глянь вот топик там полно приемов против всякого рода 
flood атак.
http://www.linux.org.ru/jump-message.jsp?msgid=1145266

а вообще imho твой правила вполне жизнеспособны 
разве может добавить защиту от NEW not SYN

tugrik ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.