witam czy moglby ktos sprawdzic ten skrypt?? chodzi mi o firewalla maksymalnie bezpiecznego. co mozna odac lub usunac usunac? jest to lan w lanie--pakiety maja byc maskowane z mojej sieci a do ma wchodzic jedynie www
oto ten skrypt:
-----------------------------------------------------------------------------------
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# czyscimy tablice iptables odpowiedzialne za nat i za filtrowanie pakietow:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p udp -j DROP
# maskowane pakietow z lanu
iptables -t nat -A POSTROUTING -s 10.5.1.1 -d 0/0 -j MASQUERADE
# I doładujmy moduł do obsługi ftp i irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
#Na dobry początek blokujemy wszystko co przychodzi do naszej maszyny.
iptables -P INPUT -j DROP
iptables -P FORWARD -j DROP
iptables -P OUTPUT -j ACCEPT
#iptables -A INPUT -s 0.0.0.0/0 --dport 80 -j ACCEPT
#Dopuszczamy możliwość zdalnego logowania się przez ssh z naszego
iptables -A INPUT -s 10.5.1.1 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j LOG
# iptables -A INPUT -s 15.15.15.255 --dport 22 -j ACCEPT
#blokada pinga
# iptables -A INPUT -p icmp -j ACCEPT
# odpowiedzi na pingi wychodzące z naszego komputera.
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
# dopuszczamy pracę na interfejsie lokalnym.
iptables -A INPUT -s 127.0.0.1 -j ACCEPT