LINUX.ORG.RU
ФорумAdmin

Народ помогите новичку настроить firewall


0

0

Народ помогите pls!!! Бьюсь уже неделю и ничего не выходит. Кто может посмотрите на мое художество и поправьте в чем я не прав. Заранее ОГРОМНОЕ СПАСИБО.

#!/bin/sh /sbin/modprobe ip_masq_ftp echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_always_defrag

# Variables settings INT_IP=192.168.0.1/32 INT_ETH=eth1 EXT_IP=*.*.*.*/* EXT_ETH=eth0 NETWORK=192.168.0.0/24 ALL=0.0.0.0/0

# MASQ timeouts # 2 hrs timeout for TCP session timeouts # 10 sec timeout for traffic after the TCP/IP "FIN" packet is received # 160 sec timeout for UDP traffic (Important for MASQ'ed ICQ users) # /sbin/ipchains -M -S 7200 10 160

# Flush builtin chain /sbin/ipchains -F forwad /sbin/ipchains -F input /sbin/ipchains -F output

# Enable simple IP forwarding and Masquerading /sbin/ipchains -P forward DENY /sbin/ipchains -P input DENY /sbin/ipchains -P output ACCEPT # Masquerading /sbin/ipchains -A forward -s $NETWORK -j MASQ # Accept all icmp and packets through firewall /sbin/ipchains -A input -p icmp -j ACCEPT

#########################--------ACCEPT UDP--------############################ /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 21 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 23 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 25 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 53 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 80 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 110 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 113 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 119 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 123 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 433 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 4000 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 5190 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 6667 -p udp -y -j ACCEPT /sbin/ipchains -A input -i $EXT_ETH -s $ALL 20 -d $EXT_IP -p udp -y -j ACCEPT

#########################--------ACCEPT TCP--------############################ /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 21 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 23 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 25 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 53 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 80 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 110 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 113 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 119 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 123 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 433 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 4000 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 5190 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 6667 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $EXT_ETH -s $ALL 20 -d $EXT_IP -p tcp -y -j ACCEPT


включи форматирование текста..

anonymous
()

Народ помогите pls!!!
Бьюсь уже неделю и ничего не выходит.
Кто может посмотрите на мое художество и поправьте в чем я не прав. Заранее ОГРОМНОЕ СПАСИБО.

#!/bin/sh
/sbin/modprobe ip_masq_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_always_defrag

# Variables settings
INT_IP=192.168.0.1/32
INT_ETH=eth1
EXT_IP=10.2.0.184/32
EXT_ETH=eth0
NETWORK=192.168.0.0/24
ALL=0.0.0.0/0

# MASQ timeouts
# 2 hrs timeout for TCP session timeouts
# 10 sec timeout for traffic after the TCP/IP "FIN" packet is received
# 160 sec timeout for UDP traffic (Important for MASQ'ed ICQ users)
#
/sbin/ipchains -M -S 7200 10 160

# Flush builtin chain
/sbin/ipchains -F forwad
/sbin/ipchains -F input
/sbin/ipchains -F output

# Enable simple IP forwarding and Masquerading
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input DENY
/sbin/ipchains -P output ACCEPT
# Masquerading
/sbin/ipchains -A forward -s $NETWORK -j MASQ

# Accept all icmp and packets through firewall
/sbin/ipchains -A input -p icmp -j ACCEPT
/sbin/ipchains -A input -p udp -j ACCEPT

################----NON ASK TRAFFIC----####################################
# Accept all non ASK outbounding tcp traffic
/sbin/ipchains -A input -p tcp ! -y -i $INT_ETH -s $NETWORK -j ACCEPT
# Accept all non ASK inbounding traffic
/sbin/ipchains -A input -p tcp ! -y -i $EXT_ETH -d $EXT_IP -j ACCEPT
############################################################################

#########################--------ACCEPT TCP--------############################
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 21 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 23 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 25 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 53 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 80 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 110 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 113 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 119 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 123 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 433 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 4000 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 5190 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 6667 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $EXT_ETH -s $ALL 20 -d $EXT_IP -p tcp -y -j ACCEPT

anonymous
()

Раз у тебя
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output ACCEPT
то нужно продублировать правила из input в forward (если тебе, конечно, нужно роутить внутреннюю сетку в инет).
Посмотри в доках порядок прохождения пакетами цепочек ipchains.

jonatan
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.