Klette Skrevet 23. juni 2004 Del Skrevet 23. juni 2004 (endret) Har ett lite script som ordner routing og slikt på ruteren min, men det er jo temmelig usikkert ( alt er åpent :S ) Her er scriptet: #!/bin/bash insmod ip_tables insmod ip_conntrack insmod ip_conntrack_ftp insmod ipt_state insmod iptable_nat insmod ipt_MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables --flush iptables --table nat --flush iptables --delete-chain iptables --table nat --delete-chain /sbin/route add default gw 217.8.140.126 metric 1 #Ville ikke sette seg selvom jeg confa det i /etc/rc.d/rc.inet1.conf iptables --append FORWARD --in-interface eth1 -j ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE eth1 er det lokale nettverket, mens eth0 er da utsiden. Så til spørsmålet; Kunne noen ha posta noen eksempel linjer på hva som kunne addes for økt sikkerthet? (valg av porten inn blandt annet ) - Jeg er en learn by example person Hadde vært flott. (takk til moyner for de to linjene som gjør at det funker ( #alinux.no er genial folkens ) Mvh Klette Endret 23. juni 2004 av Klette Lenke til kommentar
Langbein Skrevet 23. juni 2004 Del Skrevet 23. juni 2004 (endret) Selv kjører jeg veldig strenge firewall-regler. Pleier å begynne med å lukke alt, også åpner jeg nødvendige porter etterpå. På klientmaskinen jeg sitter på nå er faktisk alt lukket maksimalt, men på server'n som står ved siden av meg har jeg åpnet porter for web, ftp, ssh ++ Linux er genial fordi den inkluderer en veldig avansert stateful firewall Enkel måte å sperre for innkommende trafikk som ikke er relatert til allerede eksisterende trafikk: iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP (Evt. kan man bruke reject istedenfor drop - smak og behag) Hvis en eller annen hacker fra Langtvekkistan nå forsøker seg på maskinen din, vil ikke pakkene komme igjennom. Kun innkommende pakker som hører til en eksisterende connection eller er relatert til utgående trafikk slipper igjennom. Siste punkt er viktig for UDP siden det er en såkalt connection-less protokoll. Uten stateful inspection (som mange jalla-firewaller mangler), kunne man ikke satt opp en så elegant regel for UDP. Mest sannsynlig ville man endt opp med å slippe all UDP-trafikk igjennom, som jeg har sett mange firewall-programmer til Windows gjør, noe som selvsagt reduserer sikkerheten betraktelig. Senere kan du åpne nødvendige porter, f.eks til en webserver: iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT Endret 23. juni 2004 av Langbein Lenke til kommentar
Klette Skrevet 24. juni 2004 Forfatter Del Skrevet 24. juni 2004 Hvordan vil dette påvirke msn transfers etc? noen problemer med det? Lenke til kommentar
bkak Skrevet 24. juni 2004 Del Skrevet 24. juni 2004 Så lenge webportene er åpne, og kun en er bak brannmur på msn går dette fint. Problemene kommer når begge er bak NAT eller lignende. Lenke til kommentar
Torbjørn Skrevet 24. juni 2004 Del Skrevet 24. juni 2004 hvis du google litt etter rc.firewall iptables så finner du masse eksempler på slikt. her er det jeg har satt opp for NAT-nett på jobben http://www.nt.ntnu.no/users/lindahl/rc.firewall.html Lenke til kommentar
Klette Skrevet 24. juni 2004 Forfatter Del Skrevet 24. juni 2004 Supert Takk for hjelpen Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå