Hérna fyrir neðan er að finna sýnishorn af eldvegg fyrir Iptables.

Notkun hans er algjörlega á eigin ábyrgð en hann hefur verið reyndur af þónokkrum aðilum og ekki ennþá fundist alvarlegur galli í honum. :)

Þið megið nota hann að vild, gegn því að ef þið finnið galla í honum þá látið mig vita.

Hentugt er að setja línu í /etc/rc.d/rc.local þar sem skráin er ræst (muna að gera hana executable fyrst).



*Byrja að klippa hér fyrir neðan*
<hr>
#!/bin/bash

#Skiptu út X fyrir þær tölur sem þarf á hverjum stað.

STATICIP=XXX.XXX.XXX.XXX #Fasta IP-talan þín
LOCALNET=XXX.XXX.XXX.XXX #Networkið á staðarnetinu
SUBNET=XXX.XXX.XXX.XXX #Subnet maski staðarnets
IRCSERVER=194.105.224.50 #irc server sem þú notar (t.d. irc.simnet.is)
NETDEVICE=ppp0 #getur verið pppX eða ethX (X er þá tala)


#Best að tæma töfluna fyrst
iptables -F

#við notum source nat
iptables -t nat -A POSTROUTING -o $NETDEVICE -j SNAT –to $STATICIP



#Bara að hleypa áfram frá okkar undirneti
iptables -A FORWARD -s $LOCALNET/$SUBNET -j ACCEPT
iptables -A FORWARD -d $LOCALNET/$SUBNET -j ACCEPT

#Leyfum SSH
iptables -A INPUT -p tcp -d $STATICIP –destination-port 22 -j ACCEPT
echo “SSH er opið”

#Leyfum WWW
iptables -A INPUT -p tcp –destination-port 80 -j ACCEPT
echo “Vefþjónn opinn”

#Leyfum blessaðan Identinn fyrir ircþjónin sem við notum

iptables -A INPUT -p tcp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT
iptables -A INPUT -p udp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT

#og lokum á hann fyrir alla aðra
iptables -A INPUT -p tcp -s ! $IRCSERVER -d $STATICIP –destination-port 113 -j DROP
iptables -A INPUT -p udp -s ! $IRCSERVER -d $STATICIP –destination-port 113 -j DROP

echo “identd bara opinn $IRCSERVER”

#Þessar línur athuga hvort tengingarnar eigi erindi hingað inn
#Ef þú villt líka loka á ICMP þá geturðu sleppt -p færslunum
iptables -A INPUT -p tcp -d $STATICIP -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m state –state NEW -i ! $NETDEVICE -j ACCEPT
iptables -A INPUT -p udp -d $STATICIP -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp -m state –state NEW -i ! $NETDEVICE -j ACCEPT


#Það er ekki þörf á öðrum tengingum inn en þegar eru leyfðar..loka á ALLT!
iptables -A INPUT -p tcp -i $NETDEVICE -j DROP
iptables -A INPUT -p udp -i $NETDEVICE -j DROP

#óþarfi að leyfa meira út en þegar er skilgreint.
iptables -A FORWARD -i $NETDEVICE -j DROP
echo “lokað á óþarfa tengingar”

#stoppum þessi leiðinda ping :)
iptables -A INPUT -i $NETDEVICE -p icmp –icmp-type echo-request -j DROP
iptables -A OUTPUT -o $NETDEVICE -p icmp –icmp-type echo-reply -j DROP
echo “lokað fyrir ping inn”


#Policies
iptables -P FORWARD DROP
#iptables -P OUTPUT DROP
# af stað með forwarding (just in case)
echo “1” > /proc/sys/net/ipv4/ip_forward

echo “JReykdal/www.hugi.is Eldveggur hefur verið reistur”
echo “JRFWall v1.0b 26.06.01 kl. 22:30”

<hr>
*þú mátt hætta að klippa núna*
JReykdal