LINUX.ORG.RU
ФорумAdmin

NAT - verifying closely...


0

0

Привет

Уважаемые гуру, проверьте плз все ли правильно с точки зрения безопасности на шлюзе настроены iptables?

# iptables-save

# Generated by iptables-save v1.2.11 on Mon Nov 20 23:36:47 2006
*nat
:PREROUTING ACCEPT [7135:1316575]
:POSTROUTING ACCEPT [12:834]
:OUTPUT ACCEPT [207:12329]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2
COMMIT
# Completed on Mon Nov 20 23:36:47 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 23:36:47 2006
*filter
:INPUT DROP [2096:217257]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [10194:2960587]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ! eth0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.2 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137:138 -j DROP
-A INPUT -j LOG --log-prefix "all_input"
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A OUTPUT -d 192.168.0.2 -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Mon Nov 20 23:36:47 2006

Немного смущают политики ACCEPT по умолчанию для PREROUTING и POSTROUTING, это правильно или лучше поставить DROP и делать ACCEPT для каждого клиента?

Кстати, нужно будет сделать возможность включать/отключать инет индивидуально (по IP), где это лучше сделать - типа
-A FORWARD -s {IP-ADDRESS} -i eth1 -o eth0 -j ACCEPT

или
-A POSTROUTING -s {IP-ADDRESS} -o eth0 -j SNAT --to-source 192.168.1.2,
наверно первый вариант предпостительнее?

Если я правильно понял, пакеты из цепочки FORWARD идут минуя INPUT и OUTPUT?

Спасибо. Маны читались, спрашиваю т.к. iptables это такая вещь где лучше лишний раз переспросить и убедиться наверняка, особенно если машинка круглосуточно торчит в нете:)

anonymous

Re: NAT - verifying closely...

> Немного смущают политики ACCEPT по умолчанию для PREROUTING и POSTROUTING, это правильно или лучше поставить DROP и делать ACCEPT для каждого клиента?

PREROUTING и POSTROUTING не предназнчены для фильтрации пакетов. так что нормально.



> Кстати, нужно будет сделать возможность включать/отключать инет индивидуально (по IP), где это лучше сделать - типа

можно сделать так как ты написал, но имхо лучше сквид.


Если я правильно понял, пакеты из цепочки FORWARD идут минуя INPUT и OUTPUT?


вот тут наглядно нарисовано http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/packet_flow9.png



anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.