cenenzo Skrevet 30. november 2014 Del Skrevet 30. november 2014 IPT -A forward -p tcp -d $int_net --dport 22, j accept? hva betyr dette? Sånn som jeg har tolket det så skal den kun tillate trafikk inn via port 22 og protocol tcp Lenke til kommentar
AM2petterk Skrevet 9. desember 2014 Del Skrevet 9. desember 2014 -A = Append (--append) (forward i dette tilfellet, altså fra WAN/internett) -p = protocol -d = destination --dport = destination port -j = target Regelen tillater/router trafikk utenfra (internett) til $int_net (variabel) på port 22 via TCP. Lenke til kommentar
arne22 Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 (endret) Dette er en regel som strengt talt er unødvendig. (Forutsatt at det dreier seg om en nat router.) Hvis policy for nat routing mellom internett og lan er satt til "drop" da er den allikevell nødvendig. Det den i praksis vil gjøre det er å tillate ekstern tilkobling fra en ekstern klient på internett til en intern ssh server inne på lan. (TCP port 22 = standard port for sshd) Denne regelen vil imidlertid ikke kunne gjøre jobben allene. Det behøves også en regel for port forwarding. Reglen for port forwarding og regelen for "forwarding chain filtering" jobber i dette tilfellet sammen. Det kan vel diskuters om en slik "dobbelt sikkerhet" er nødvendig og om man ikke bare kunne sette policy for "forwarding chain" til accept, slik at "forwarding rule" fortsatt vil behøves, slik at "forwarding filtering rule" nevnt over kan utelates. Regel for port forwarding kan for eksempel se slik ut: -A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.200:22 Regelen i første post er for å åpne opp for denne trafikken dersom brannmuren i utgangspunktet er stengt for denne trafikken. (Hvilket den ikke behøver å være.) Man kan også gjøre slik: -A PREROUTING -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.200:22 Det vil si at sett utenfra så kjører ssh serveren nå på port 443. Det vil redusere antall forsøk på hacking i nokså stor grad. Linux har tre "hovedsett" med "firewall flitering". Dette er forward chain som bare har med routing funksjonen å gjøre. input chain som filtrerer inn til de lokale prosessene på serveren. output chain som filtrerer trafikken ut i fra de lokale prosessene på serveren. https://wiki.archlinux.org/index.php/iptables Her er ellers en av guidene fra de riktig gamle dagene: http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.html Endret 14. desember 2014 av arne22 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå