LINUX.ORG.RU
ФорумAdmin

Как настроить rc.firewall (ни чего не выходит)


0

0

Народ помогите pls!!!
Бьюсь уже неделю и ничего не выходит.
Кто может посмотрите на мое художество и поправьте в чем я не прав. Заранее ОГРОМНОЕ СПАСИБО.

#!/bin/sh
/sbin/modprobe ip_masq_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_always_defrag

# Variables settings
INT_IP=192.168.0.1/32
INT_ETH=eth1
EXT_IP=10.2.0.184/32
EXT_ETH=eth0
NETWORK=192.168.0.0/24
ALL=0.0.0.0/0

# MASQ timeouts
# 2 hrs timeout for TCP session timeouts
# 10 sec timeout for traffic after the TCP/IP "FIN" packet is received
# 160 sec timeout for UDP traffic (Important for MASQ'ed ICQ users)
#
/sbin/ipchains -M -S 7200 10 160

# Flush builtin chain
/sbin/ipchains -F forwad
/sbin/ipchains -F input
/sbin/ipchains -F output

# Enable simple IP forwarding and Masquerading
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input DENY
/sbin/ipchains -P output ACCEPT
# Masquerading
/sbin/ipchains -A forward -s $NETWORK -j MASQ

# Accept all icmp and packets through firewall
/sbin/ipchains -A input -p icmp -j ACCEPT
/sbin/ipchains -A input -p udp -j ACCEPT

################----NON ASK TRAFFIC----####################################
# Accept all non ASK outbounding tcp traffic
/sbin/ipchains -A input -p tcp ! -y -i $INT_ETH -s $NETWORK -j ACCEPT
# Accept all non ASK inbounding traffic
/sbin/ipchains -A input -p tcp ! -y -i $EXT_ETH -d $EXT_IP -j ACCEPT
############################################################################

#########################--------ACCEPT TCP--------############################
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 21 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 23 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 25 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 53 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 80 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 110 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 113 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 119 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 123 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 433 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 4000 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 5190 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $INT_ETH -s $NETWORK -d $ALL 6667 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i $EXT_ETH -s $ALL 20 -d $EXT_IP -p tcp -y -j ACCEPT

anonymous

не, так дела не делаются
в командной строке вводиш по одной строчке и проверяеш результат
или редактируеш файл, запускаеш и смотриш результат
если не получается пиши сюда
а так - не полностью задан вопрос
к тому-же сколько людей столько мнений

/sbin/ipchains -F forwad 
/sbin/ipchains -F input 
/sbin/ipchains -F output 
^^^^^
зачем
ну и т,д,
попробуй в поике - куча примеров, под себя найдеш точно

anonymous
()

Iptables - Rulezzzzzzzzzzzz! 8-)

anonymous
()

что именно не выходит?

anonymous
()

/sbin/ipchains -A input -p tcp ! -y -i $EXT_ETH -d $EXT_IP -j ACCEPT вот этой строкой ты рубишь все запросы на соединение, поэтому ничего и не работает. Фильтр работает по первому правилу , удовлетворяющему условию. Делай выводы.

Замени этот блок (и 1 строчку)на /sbin/ipchains -A input -p tcp ! -y -i $EXT_ETH -d $EXT_IP 1024:65535 -j ACCEPT , и поставь в конец скрипта, а с остальных убери флаг -y

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin