LINUX.ORG.RU

iptables для «простого» ноутбука.


0

1
┌[ 21:57:49:721280173 root@Gentoo  ~]
└[ # iptables -vnL
Chain INPUT (policy DROP 21 packets, 888 bytes)
 pkts bytes target     prot opt in     out     source               destination                    
 2164 1082K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2371 packets, 328K bytes)
 pkts bytes target     prot opt in     out     source               destination

Достаточно?


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Мне хватает.

gentoo_root ★★★★★ ()
Ответ на: комментарий от gentoo_root

Пошляк. Всем разрешать, разрешалка сломается)

tn1 ()
Ответ на: комментарий от tn1

Вот ещё мои старые, когда я руками роутер заводил.

		# Flush
		iptables -F
		iptables -t nat -F
		# Defaults
		iptables -P INPUT ACCEPT
		iptables -P OUTPUT ACCEPT
		iptables -P FORWARD DROP
		# Open DHCP and DNS servers to wlan0
		iptables -A INPUT -p UDP --dport bootps -i wlan0 -j ACCEPT
		iptables -A INPUT -p UDP --dport domain -i wlan0 -j ACCEPT
		# Open SSH server only to iPod on wlan0
		iptables -A INPUT -p TCP --dport ssh -m mac --mac-source $IPOD_MAC_ADDRESS -i wlan0 -j ACCEPT
		# Drop all from wlan0
		iptables -A INPUT -i wlan0 -j DROP
		# Routing
		#  Isolate from my local network
		iptables -A FORWARD -i wlan0 -d 192.168.1.0/255.255.255.0 -j DROP
		#  Isolate from other devices in Wi-Fi network
		iptables -A FORWARD -i wlan0 -d 192.168.0.0/255.255.255.0 -j DROP
		#  Permit routing to Internet
		iptables -A FORWARD -i wlan0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
		iptables -A FORWARD -i eth0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
		iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
		# Redirect incoming connections on $PORT port to SSH
		iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT -j REDIRECT --to-port ssh

$PORT не скажу, потому что он в Интернет смотрит =)

gentoo_root ★★★★★ ()

На всякий - не забудь про ip6tables. А то можешь словить ipv6 в какой-нибудь сети ;)

adzeitor ()
Ответ на: комментарий от adzeitor

> А то можешь словить ipv6 в какой-нибудь сети ;)
Его нет.(даже в ядре)

tn1 ()
Ответ на: комментарий от gentoo_root

Нет, у меня «прямое» подключение, просто когда юзал firestarter(на debian`е) меня придалбивал ICMP флуд от M$, теперь решил задропать входящий трафик новых соединений.

tn1 ()
Ответ на: комментарий от sin_a

Я не бородат, но мне кажется, что у меня тоже самое.

tn1 ()
Ответ на: комментарий от tn1

>>меня придалбивал ICMP флуд от M$

а толку. входящий канал то забивается все равно.

exception13 ★★★★★ ()
Ответ на: комментарий от exception13

> а толку.
На всякий случай, это же почти nmap.

tn1 ()

iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Мне хватает.

GenuS ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.