Привет
Уважаемые гуру, проверьте плз все ли правильно с точки зрения безопасности на шлюзе настроены iptables?
# iptables-save
# Generated by iptables-save v1.2.11 on Mon Nov 20 23:36:47 2006
*nat
:PREROUTING ACCEPT [7135:1316575]
:POSTROUTING ACCEPT [12:834]
:OUTPUT ACCEPT [207:12329]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2
COMMIT
# Completed on Mon Nov 20 23:36:47 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 23:36:47 2006
*filter
:INPUT DROP [2096:217257]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [10194:2960587]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ! eth0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.2 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137:138 -j DROP
-A INPUT -j LOG --log-prefix "all_input"
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A OUTPUT -d 192.168.0.2 -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Mon Nov 20 23:36:47 2006
Немного смущают политики ACCEPT по умолчанию для PREROUTING и POSTROUTING, это правильно или лучше поставить DROP и делать ACCEPT для каждого клиента?
Кстати, нужно будет сделать возможность включать/отключать инет индивидуально (по IP), где это лучше сделать - типа
-A FORWARD -s {IP-ADDRESS} -i eth1 -o eth0 -j ACCEPT
или
-A POSTROUTING -s {IP-ADDRESS} -o eth0 -j SNAT --to-source 192.168.1.2,
наверно первый вариант предпостительнее?
Если я правильно понял, пакеты из цепочки FORWARD идут минуя INPUT и OUTPUT?
Спасибо. Маны читались, спрашиваю т.к. iptables это такая вещь где лучше лишний раз переспросить и убедиться наверняка, особенно если машинка круглосуточно торчит в нете:)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.