/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
forslag til routning af bestemte porte på ~
Fra : Jacob Christensen


Dato : 21-12-04 13:58

Hej NG !

jeg har en Linux (redhat) maskine med 2 netkort, som jeg bruger som
intern router mellem 2 net. I dag har jeg bare aktiveret IP_forward og
det virker sådan set også udemærket, men jeg kunne godt tænke mig at
begrænse trafikken til kun at gælde udvalgte porte og også stoppe
broadcasts. jeg er helt ny på linux området, så jeg har brug for jeres
hjælp til at kommentere på om nedenstående vil virke, eller om der er en
bedre måde at gøre det på:

mit forslag til et script:

# stop IP forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

# luk for broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# slet alle iptables regler
iptables --flush

# luk for al IP trafik
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP

# åbn for port 23 gennem begge net
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 23 -j ACCEPT
iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -p tcp --sport 23 -j ACCEPT

# åbn for port 449 gennem begge net
iptables -A INPUT -p tcp --dport 449 -j ACCEPT
iptables -A INPUT -p tcp --sport 449 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 449 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 449 -j ACCEPT
iptables -A FORWARD -p tcp --dport 449 -j ACCEPT
iptables -A FORWARD -p tcp --sport 449 -j ACCEPT

# åbn for portene fra 8470 til 8480 gennem begge net
iptables -A INPUT -p tcp --dport 8470:8480 -j ACCEPT
iptables -A INPUT -p tcp --sport 8470:8480 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8470:8480 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8470:8480 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8470:8480 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8470:8480 -j ACCEPT

# start IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

 
 
Steen Suder, privat (21-12-2004)
Kommentar
Fra : Steen Suder, privat


Dato : 21-12-04 16:53

Jacob Christensen wrote:
> Hej NG !
>
> jeg har en Linux (redhat) maskine med 2 netkort, som jeg bruger som
> intern router mellem 2 net. I dag har jeg bare aktiveret IP_forward og
> det virker sådan set også udemærket, men jeg kunne godt tænke mig at
> begrænse trafikken til kun at gælde udvalgte porte og også stoppe
> broadcasts. jeg er helt ny på linux området, så jeg har brug for jeres
> hjælp til at kommentere på om nedenstående vil virke, eller om der er en
> bedre måde at gøre det på:
>
> mit forslag til et script:
>
> # stop IP forwarding
> echo 0 > /proc/sys/net/ipv4/ip_forward
>
> # luk for broadcasts
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
> # slet alle iptables regler
> iptables --flush
>
> # luk for al IP trafik
> iptables --policy INPUT DROP
> iptables --policy OUTPUT DROP
> iptables --policy FORWARD DROP
>
> # åbn for port 23 gennem begge net
> iptables -A INPUT -p tcp --dport 23 -j ACCEPT
> iptables -A INPUT -p tcp --sport 23 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 23 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
> iptables -A FORWARD -p tcp --sport 23 -j ACCEPT

....

> # start IP forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward

INPUT og OUTPUT gælder for trafik til og fra maskinen "selv", ikke den
trafik, der FORWARDes.

Derudover ser det fint ud.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste