jeśli nie chcesz korzystać wbudowanego w dystrybucje konfiguratora firewall'a to ten post jest dla Ciebie.
(DOMYŚLNIE !!!! , zezwalamy na cały ruch wychodzący)
URUCHAMIANIE
(debian, ubuntu, centos, redhat, suse)
cd /etc/init.d
dla (slackware)
cd /etc/rc.d/
vi rc.firewall
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
## jesli uzywamy natowanie/maskowanie adresow
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
## zezwol na polaczenia zainicjowane z komputera
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
## ssh
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
## www
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
## ftp
iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 20 -j ACCEPT
## serwer poczty jesli mamy
iptables -A INPUT -s 0/0 -p tcp --dport 25 -j ACCEPT
# przepuść torrenty
iptables -A INPUT -s 0/0 -p tcp --dport 6881:6889 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 6881:6889 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 12115 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 12115 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 514 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 7599 -j ACCEPT
## zablokowanie ICMP - odpowiedzi ping
iptables -A INPUT -p icmp -j DROP
#iptables -A INPUT -p icmp --icmp-type 4 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
## zablokawnie ataku slownikowego, tylko 4 polaczenia na minute
iptables -I INPUT -p tcp --dport 24 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 24 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
aby uruchamiał się po restarcie, dodajemy wpis do rc.local:
vi /etc/init.d/firewall
dodajemy na końcu (przed poleceniem exit 0)
/etc/init.d/firewall
WYŁĄCZANIE FIREWALL
stwórz plik /etc/init.d/rc.firewall.stop
vi /etc/init.d/rc.firewall.stop
dodajemy
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
uruchamianie firewall: /etc/init.d/rc.firewall
zatrzymywanie firewall: /etc/init.d/rc.firewall.stop
to wszystko (wystarczy pod-edytować wpisy po siebie)
Brak komentarzy:
Prześlij komentarz