Regola di base: tutti i pacchetti che la macchina riceve e che dovrebbe routare da qualche parte sono invece eliminati.Originariamente inviato da tommy_bo
# DEFAULT policies
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Qui i pacchetti relativi ad una connessione già esistente vengono routati da un'interfaccia all'altra.Originariamente inviato da tommy_bo
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
E qui fai tutte regole di INPUT e non di FORWARD. Va benissimo per il proxy (se è installato sulla stessa macchina), visto che i client stabiliscono connessioni che risultano in entrata sul firewall, ma non credo sia giusto per le connessioni che devono essere routate.Originariamente inviato da tommy_bo
# eth1 open ports
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 115 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 995 -j ACCEPT
# eth2 open ports
iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT
# enable ping
iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
E questo non sono sicuro che basti, altrimenti potrebbero essere routate (leggi potrebbero navigare) entrambe le reti.Originariamente inviato da tommy_bo
# to allow ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Rispondi quotando
