iptables [1] ienāca ar Linux kodolu 2.4.xx, un tas ir pēctecis iepriekšējam variantam ipchains - Linux 2.2.xx
Jau iepriekš mēs esam apskatījuši maršrutizātora variantus uz ipchains [2].
Šeit tiek apskatīts tikai viens variants, kad ir atļauti tikai pieņemamie Interneta servisi. Tas varētu interesēt vairums uzņēmumu, kuriem ir problēmas ar darbinieku pašapziņu.
# definējam ārejo (Interneta) IP adresi
EXT_ADR="192.168.18.9"
# dzēšam iespējamos iepriekšējos uzstādījumus
iptables -F
# tās paketes kuras tiks atļautas - translēt uz Internetu
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to $EXT_ADR
# ieejā akceptējam jaunus savienojumus, kuri nenāk no Interneta
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT
# un jau izveidotos savienojumus
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# pārējos ignorējam
iptables -P INPUT DROP
# cauri laižam tikai jau izveidotos savienojumus
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# un tos kuri ir atļauti
# DNS pieprasījumi
iptables -A FORWARD -p udp -o eth1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 --dport 53 -j ACCEPT
# Interneta mājas lapas
iptables -A FORWARD -p tcp -o eth1 --dport 80 -j ACCEPT
# Interneta šifrētas lapas
iptables -A FORWARD -p tcp -o eth1 --dport 443 -j ACCEPT
# ja e-pasta serveris atrodas ārpus uzņēmuma
iptables -A FORWARD -p tcp -o eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 --dport 110 -j ACCEPT
# izejā atļaujam visu
iptables -P OUTPUT ACCEPT
# un beidzot atļaujam Linux kodolam veikt pakešu maršrutēšanu
echo 1 > /proc/sys/net/ipv4/ip_forward
[1] http://www.netfilter.org
[2] Maršrutētājs (ugunsmūris) uz ipchains
- Log in to post comments