# Pomoc przy konfiguracji regułek iptables

## nUmer_inaczej

Witam serdecznie.

W używaniu gentoo miałem krótką przerwę w trakcie której zmieniły się regułki w iptables.

Mój plik /etc/codf.d/iptables wygląda jak poniżej:

```

# Location in which iptables initscript will save set rules on 

# service shutdown

IPTABLES_SAVE="/var/lib/iptables/rules-save"

# Options to pass to iptables-save and iptables-restore 

SAVE_RESTORE_OPTIONS="-c"

# Save state on stopping iptables

SAVE_ON_STOP="yes"

# Zabezpieczam /proc

/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do

        /bin/echo "1" > $i/rp_filter

done

# Czyszczę reguły

iptables -F 

iptables -X

# Ustawiam domyślną politykę 

iptables -P INPUT DROP 

iptables -P FORWARD DROP 

iptables -P OUTPUT ACCEPT

# dzielenie pakietów

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Blokuję nieprawidłowe pakiety

iptables -A INPUT -i enp5s2 -m conntrack --ctstate INVALID -j DROP

# Dopuszczam ruch na interfejsie lokalnym 

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

# Dopuszczam do ruchu połączenia już nawiązane i powiązane 

iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 

iptables -A INPUT -i enp5s2 -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 

# Dopuszczam ruch przychodzący 

iptables -A INPUT -i enp5s2 --protocol tcp --destination-port 80 -m limit --limit 1/s -j ACCEPT

# Wszystkie niepasujące zostaną odnotowane w LOGach

##iptables -A INPUT -i enp5s2 -j LOG --log-prefix "INPUT DROP" --log-ip-options --log-tcp-options

```

watch -n0 iptables -L -vx  nie pokazuje mi jednak ruchu z "Dopuszczanego ruchu przychodzącego" - firewall działa, mogę nawiązać ruch przychodzący na podstawie iptables -A INPUT -i enp5s2 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT - dlaczego.

Bardzo bym prosił o pomoc. Będę bardzo wdzięczny jeśli ktoś pomoże mi również z ostatnią linijką (zachaszowaną) dotyczącą logowania upuszczonych pakietów.

Pozdrawiam

Roman

----------

## nUmer_inaczej

Na ostatnie pytanie znalazłem rozwiązanie - otóż nie miałem skompilowanego modułu xt_LOG

w .config

<M>   LOG target support

Pierwsze pytanie pozostaje nadal otwarte. Bardzo bym prosił o pomoc.

Pozdrawiam

----------

## Jacekalex

Ja mam firewalla w osobnym skrypcie, ale do iptables polecam wiki:

Na desktopa starcza zazwyczaj takie coś:

```

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
```

W Gentoo można to "zakonotować" poleceniem 

```
/etc/init.d/iptables save
```

Do większej zabawy polecam:

http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables

http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png

Pozdrawiam

 :Cool: 

----------

