LINUX.ORG.RU

IPTABLES кривыми руками

 , ,


1

3

Всем доброго времени суток! Всю свою осознанную жизнь просидел на FreeBSD и его IPFW. Но теперь встала задача настроить IPTABLES покурив немного манов, что-то я понял и сделал нижеследующее. Прошу Вас покидать в меня камни и на пальцах объяснить если я в чем-то не прав.

#!/bin/sh

# Задаю перменные.
IF_EXT="eth0"
IF_INT="eth1"
IPT="/sbin/iptables"

# Сбрасываю все что  было до этого
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

# Задаю политики по умолчанию. Закрываю все и везде.
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Петля
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Разрешаю внуренней сети гулять
$IPT -A INPUT -i $IF_INT -j ACCEPT
$IPT -A OUTPUT -o $IF_INT -j ACCEPT

# Разрешаю все что было установлено нами
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# разрешаю пересылку пакетов от локали в мир
$IPT -A FORWARD -i $IF_INT -o $IF_EXT -j ACCEPT

# разрешаем тычить ДНС
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT

# Пинг-понг
$IPT -A OUTPUT -p ICMP --icmp-type 8 -j ACCEPT

# Разрешаю серверу наружу
$IPT -A OUTPUT -o $IF_EXT -j ACCEPT

# Надеваем маски
$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

Сходя из этого я думаю я должен получить следущее:

Из мира меня не видно, никак и никогда. Все пользователи локалки могут гулять в сеть и от туда принимать все. Сервер может обновляться. Собственно это и надо, более сложный уровень я осилю позже. Вопрос еще такой. Дефолтные политики нужно задавать вначале или прописывать в конце? Я об:


$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

В IPFW все просто, все что вверху доминирует над тем что внизу, то есть если сверху разрешили, то пофиг что внизу. Я так понимаю что тут тоже самое? И мне нужно сдвинуть блок дефолтных запретов после маскарадинга?

Спасибо всем!

Всю свою осознанную жизнь просидел на FreeBSD и его IPFW.

Сочувствую... Как говорится: тяжелое детство, железные игрушки прибитые к полу.

ktulhu666 ☆☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.