Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: moonstone - 11.09.06 - klo:09.28

Otsikko: Pika apua palomuuriin!
Kirjoitti: moonstone - 11.09.06 - klo:09.28: Hei!

Tarvitsisin pikaista apua palomuurin pystyttämiseen.

Palomuurin tulisi sallia ulospäin lähtevä www-liikenne.
Palomuurin tulisi sallia ssh yhteyden vastaanotto tietystä verkkosegmentistä.

Voisiko joku ystävällisesti auttaa?
Otsikko: Re: Pika apua palomuuriin!
Kirjoitti: raimo - 11.09.06 - klo:11.09: Firestarter?
http://forum.ubuntu-fi.org/index.php?threadid=1984

Juu ei, käsinhän nämä säädetään. Oletko lukenut tuon:
http://forum.ubuntu-fi.org/index.php?topic=4107.0

Pikainen esimerkki:
Koodia: [Valitse]
sudo iptables -L # jos katsot tarpeelliseksi, tallenna nykyinen tilanne: sudo iptables-save > ~/.palomuuri_1109 # suljetaan kaikki muu paitsi lo sudo iptables --flush sudo iptables -I INPUT 1 -i lo -p all -j ACCEPT sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROPNyt se on suljettu, lo toimii muut pudotellaan viemäriin

sallitaan oma lähtevä liikenne:
Koodia: [Valitse]
sudo iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #lähtevä liikenne vaatii myös sisääntulevaa liikennettä (sealimet esim) tarvitaan myös tämä: sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #SSH: sudo iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.1.2-192.168.1.12 -j ACCEPT sudo iptables -A INPUT -p udp --dport 22 -m iprange --src-range 192.168.1.2-192.168.1.12 -j ACCEPT ## TAI jotakin tälläistä: kts. *1 ## sudo iptables -A INPUT -p tcp -s 123.45.67.128/25 -d OMA_IP_TÄHÄN --dport 22 -j ACCEPT ## sudo iptables -A INPUT -p udp -s 123.45.67.128/25 -d OMA_IP_TÄHÄN --dport 22 -j ACCEPT # talletetaan, jotta ei aina tarvi kirjoitella sudo iptables-save > ~/.palomuuri_SSH # jos halutaan palauttaa sudo iptables-restore < ~/.palomuuri_1109
-d = Destination = KOHDE = MIHIN TULOSSA
-s = Source = LÄHDE = MISTÄ TULOSSA
tuossa tuo -d OMA_IP_TÄHÄN ei ole välttämätön

*1: tuossa olevan mystillisen /25 lukeman laskin http://www.subnetmask.info/
Tuota on vaikea ymmärtää, en minäkään sitä ymmärrä, mutta toimii se.
Jotakin bittejä siinä lasketaan. :)

ps. en ole verkkokurko, joten suhtaudu varauksella ja epäillen. :)
^{tarviiko SSH sekä tcp että udp -portit, vai riittääkö pelkkä tcp?}