iptables regra para rede local com internet gratuita bloqueando conexão não solicitada da internet para o servidor?

1

Eu tenho um servidor doméstico (com o slackware 13) com uma eth0 para a rede local e uma eth1 para a internet (cable modem com ip dinâmico).

Embora eu queira aprender mais sobre o iptables, ainda estou no processo e preciso de algumas regras e não consigo, até aprender a fazer isso, pois não quero que meu servidor seja comprometido nesse estágio.

Atualmente eu tenho um vm onde jogo com minhas regras e tudo e apreciaria se alguém me enviasse uma regra de firewall para o iptables fazer o seguinte:

  1. Permitir que todos os usuários do meu servidor dhcp na eth0 para ter acesso total a internet e servidor, em outras palavras eth0 não deve ter restrições dentro da rede e do servidor.
  2. Permitir que todos os usuários possam criar um servidor, por exemplo, se eles jogando um jogo como por exemplo warcraft, e eles criam um jogo, o firewall deve permitir que o negociação dessas conexões para vá até.
  3. Bloqueie qualquer solicitação da internet para servidor, a menos que tenha sido iniciado por o servidor ou um usuário do rede.
por Prix 23.03.2011 / 11:04

2 respostas

4

Então, basicamente, sua caixa do Linux funciona como um firewall?

Primeiro, ative o encaminhamento de IP.

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Em seguida, adicione algumas regras de encaminhamento:

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Proteja a cadeia FORWARD:

iptables -P FORWARD DROP

Crie uma regra de NAT:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Por fim, não se esqueça de verificar se você tem uma rota padrão:

ip route show | grep default

Você deve ver algo como:

default via <IP_of_eth1's_gateway> dev eth1

Se não, adicione um:

ip route add default vie <IP_of_eth1's_gateway> dev eth1

(Normalmente, o cliente DHCP adicionará automaticamente um)

    
por 23.03.2011 / 14:06
-1

Para permitir servidores, você pode adicionar manualmente as regras de encaminhamento de porta, ou usar um daemon uPnP (se os aplicativos suportarem uPnP - muitos fazem ...) [linux-igd][1] deve fazer isso ...

O NAT-PMP é semelhante e usado por alguns outros aplicativos. Uma implementação para o Linux é aqui .

    
por 31.12.2012 / 10:13