הפעלת שרת אינטרנט בתוך LAN הוא סקריפט פשוט להריץ שרת WWW בתוך רשת תקשורת מקומית. הפעל שרת אינטרנט בתוך LAN תסריט להניח את כל תכונות iptables מופקים באופן סטטי בליבה, או נטענים כל המודולים.
אחרת אתה עלול להיתקל בכמה הפתעות מנסה לנצל את commandlines יותר featureful ויצירתי שאני בא עם.
לדוגמא:
ממשקי #external והפנימיים
EXT = eth0
INT = eth1
# הכל ברור, וליצור רשתות המדורגות
iptables -F
iptables -N E0
iptables -N tcpin
iptables -N udpin
# E0 הוא השם של הרשת שלנו לeth0
EXT $ -i INPUT -אני iptables -j E0
# שרשרת OUTPUT
iptables -A OUTPUT -o DROP -j EXT $ -p ICMP --icmp-הסוג! הד-פי בקשה
# שאילתות Gnutella מרוחקים באמת היו משתינים לי את היום אחד
# Iptables -A OUTPUT -o DROP -j EXT $ -p TCP! --syn --dport 6346
# Iptables -A OUTPUT -o DROP -j EXT $ -p TCP! --syn --sport 6346
# שרשרת EXT $
# שלטון יחיד לקבל מנות SYN ליציאות מרובות (עד 15)
iptables -A tcpin -j מסכים TCP -p --syn --destination-יציאות multiport -m 873,993,995,143,80,113,21,22,23,25,53
מעקב חיבור stateful # הוא דברים נפלאים
# חיבורי TCP הוקמו מושכרים דרך
# אם אנו שולחים SYN החוצה, ACK נתפס כקשור
# תקשורת אז עוד מקובלת על ההלכה שנקבעה
iptables -A E0 -j מסכים מדינת -m --state הוקם
iptables -A E0 -j מסכים מדינת -m --state קשורה
# יציאות מסוימות אני פשוט DROP
iptables -A tcpin -j TCP -p DROP --syn --destination-יציאות multiport -m 6346.139
כללים # UDP ...
iptables -A udpin -j DROP -p --destination-יציאות multiport -m UDP 137,27960
# אני מפעיל את שרת ה- DNS, ולכן עלינו לקבל את מנות UDP ביציאה 53
iptables -A udpin -j מסכים -p UDP -m מדינת --destination-נמל חדש --state 53
# בואו להיכנס מנות UDP חדשות ביציאות 1024: 65535, אז נתנו להם לעבור
iptables -A udpin -j LOG -p UDP -m מדינת --destination-נמל חדש --state 1024: 65535 --log-קידומת UDPNEW --log-ip-אפשרויות באגים ברמת --log
iptables -A udpin -j מסכים -p UDP -m מדינת --destination-נמל חדש --state 1024: 65535
# בואו להיכנס מנות TCP חדשות ביציאות 1024: 65535, אז נתנו להם לעבור
iptables -A tcpin -j TCP LOG -p --syn --destination-היציאה 1024: 65535 --log-קידומת באגים ברמת --log TCPNEW --log-TCP-אפשרויות --log-ip-אפשרויות
iptables -A tcpin -j TCP -p מסכים --syn --destination-יציאה 1024: 65535
# בואו להיכנס מנות TCP חוקיות או חדשות ביציאות priveleged, לאחר מכן ירידה
# (זוכר שיש לי כללים מסוימים מסכימים גבוהים יותר בשרשרת)
iptables -A tcpin -j LOG -p לא חוקי TCP -m מדינת --state, --destination-נמל חדש 1: 1023 רמה---log להזהיר --log-קידומת TCPPRIV --log-TCP-אפשרויות --log- ip-אפשרויות
iptables -A tcpin -j DROP -p TCP לא חוקי --state מדינת -m, --destination-נמל חדש 1: 1023
iptables -A E0 -p -j tcpin TCP
iptables -A E0 -p UDP -j udpin
iptables -A E0 -j לא חוקי --log רמה-LOG באגים --log-קידומת Netfilter -m --log-ip-אפשרויות מדינת --state, חדש
iptables -A E0 -j DROP
# NAT חוקים
# אני מפעיל שרת אינטרנט בתוך ...
iptables -t nat -A PREROUTING -p TCP -i eth0 --dport 80 -j DNAT
תגובות לא נמצא