Dan Hansen Skrevet 17. september 2002 Del Skrevet 17. september 2002 Dette er brannmuroppsettet "firewall.conf" fra pcworld.no tidligere i år. Jeg spurte i denne tråden om noen hadde testet den - men nå lurer jeg på om noen kan forklare filen i detalj for meg ettersom jeg ikke finner igjen det aktuelle nummeret av PC World. # **********IPtables initial configuration file************ # 192.168.1.213 is the address of the "outside" card (eth0) # This must be replaced by the real address assigned by # the ISP once the broadband connection is established. # Our internal network is 192.168.2.x #Flush all chains iptables -F FORWARD iptables -F INPUT iptables -F OUTPUT iptables -t nat -F POSTROUTING # Set default policy of forward, input and output chain to DROP # (reject everything) iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP #Allow ftp, mail, HTTP, pop and SSL/TLS iptables -A FORWARD -p tcp -d 192.168.2.0/24 -m multiport --sport 21,25,80,110,443 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.2.0/24 -m multiport --dport 21,25,80,110,443 -m state --state NEW,ESTABLISHED -j ACCEPT #DNS iptables -A FORWARD -p udp -d 192.168.2.0/24 --sport 53 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.2.0/24 --dport 53 -j ACCEPT #Allow active FTP iptables -A FORWARD -p tcp -d 192.168.2.0/24 --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.2.0/24 --dport 20 -m state --state ESTABLISHED -j ACCEPT #Allow passive FTP iptables -A FORWARD -p tcp -s 192.168.2.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.2.0/24 -m state --state ESTABLISHED -j ACCEPT #Allow inside users to ping out but not vica versa iptables -A FORWARD -p ICMP -d 192.168.2.0/24 --icmp-type echo-request -j DROP iptables -A FORWARD -p ICMP -s 192.168.2.0/24 --icmp-type echo-reply -j DROP #Allow all other ICMP packets iptables -A FORWARD -p ICMP -j ACCEPT #Set up NAT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.213 Lenke til kommentar
Dan Hansen Skrevet 17. september 2002 Forfatter Del Skrevet 17. september 2002 Hehe, vrien denne her ja ... Lenke til kommentar
SSM Skrevet 17. september 2002 Del Skrevet 17. september 2002 Vil egentlig si at kommentarene snakker for seg selv. Hva mener du da med "detaljert forklaring"? Lenke til kommentar
Dan Hansen Skrevet 17. september 2002 Forfatter Del Skrevet 17. september 2002 Ta f.eks: #Flush all chains iptables -F FORWARD iptables -F INPUT iptables -F OUTPUT iptables -t nat -F POSTROUTING hva i all verden betyr det? Lenke til kommentar
inaktiv000 Skrevet 17. september 2002 Del Skrevet 17. september 2002 iptables -F <chain> [-t table] "flusher" - dvs. sletter alle entry's i <chain>. (kanskje litt feil med chains og tables etc, anyway du skjønner poenget=) Lenke til kommentar
Dan Hansen Skrevet 21. september 2002 Forfatter Del Skrevet 21. september 2002 Er det noenting som skulle tilsi at dette ikke ville fungere i FreeBSD? Lenke til kommentar
Langbein Skrevet 21. september 2002 Del Skrevet 21. september 2002 Quote: Den 2002-09-21 08:01, skrev Dan Hansen:Er det noenting som skulle tilsi at dette ikke ville fungere i FreeBSD? Iptables er en Linux-ting og kan vel ikke kjøres i FreeBSD såvidt jeg vet. Poenget er at selv om iptables ser ut som et vanlig program, er det egentlig bare et grensesnitt fordi selve packet-filter softwaren ligger i Linux-kjernen. I FreeBSD kan du bruke ipfilter eller ipfw. Sistnevnte er vel standard-programmet, mens førstnevnte er mer avansert (tror jeg da, har liten erfaring med *bsd :smile: ) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå