Jæja, þá er komin ný útgáfa af eldveggnum.

Helstu nýjungar koma frá vegg frá Princeton háskóla.

Hann má finna <a href="http://www.cs.princeton.edu/~jns/security/iptables/">hérna</a>


<hr>
#!/bin/bash


##BREYTINGAR##
# 1.01, 3. júlí 2001#
# Bætt við ýmsum nýjungum, fengnar úr snilldarlegum vegg frá Princeton háskóla
# Slóðin á hann er: http://www.cs.princeton.edu/~jns/security/iptables/
# Hrein snilld þar á ferð.





STATICIP=212.30.210.188 #Fasta IP-talan þín
LOCALNET=10.0.0.0 #Networkið á staðarnetinu
SUBNET=255.255.0.0 #Subnet maski staðarnets
IRCSERVER=194.105.224.50 #irc server sem þú notar (irc.simnet.is)
NETDEVICE=ppp0 #getur verið pppX eða ethX


#Best að tæma töfluna fyrst
iptables -F
iptables -X

##KERNEL FLAGS (paranoiu svæðið) :)
# Vér skulum eigi pinga að neinu leiti.
/bin/echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Þarna er lokað á aðferð sem notuð er við að falsa uppruna pakka
#með því að láta sem þeir koma frá innranetinu. Þetta á ekki að hindra
#eðlilega virkni netsins.
/bin/echo “0” > /proc/sys/net/ipv4/conf/all/accept_source_route

# Notum ekki “ICMP redirect móttöku”. Hægt er að nota slíkt til að
# breyta “routing töflunni”, ekki sniðugt.
/bin/echo “0” > /proc/sys/net/ipv4/conf/all/accept_redirects

# Verjum oss gegn fölsuðum villuboðum
/bin/echo “1” > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Skráum niður alla falsaða pakka.
/bin/echo “1” > /proc/sys/net/ipv4/conf/all/log_martians


##REGLUR


#prófa source nat
iptables -t nat -A POSTROUTING -o $NETDEVICE -j SNAT –to $STATICIP



#Bara að hleypa áfram frá okkar undirneti
iptables -A FORWARD -s $LOCALNET/$SUBNET -j ACCEPT
iptables -A FORWARD -d $LOCALNET/$SUBNET -j ACCEPT

#leyfa ftp
#iptables -A INPUT -p tcp -d $STATICIP –destination-port 21 -j ACCEPT
#iptables -A INPUT -p tcp ! –syn –source-port 20 –destination-port 1024:65535 -j ACCEPT

#Leyfum SSH
iptables -A INPUT -p tcp -d $STATICIP –destination-port 22 -j ACCEPT
#iptables -A INPUT -p udp -d $STATICIP –destination-port 22 -j ACCEPT
echo “SSH er opið”

#Leyfum WWW
iptables -A INPUT -p tcp -d $STATICIP –destination-port 80 -j ACCEPT
#iptables -A INPUT -p udp -d $STATICIP –destination-port 80 -j ACCEPT
echo “Vefþjónn opinn”

#Leyfum blessaðan Identinn fyrir irc

iptables -A INPUT -p tcp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT
iptables -A INPUT -p udp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT


iptables -A INPUT -p tcp -s ! $IRCSERVER -d $STATICIP –destination-port 113 -j DROP
iptables -A INPUT -p udp -s ! $IRCSERVER -d $STATICIP –destination-port 113 -j DROP

echo “identd bara opinn $IRCSERVER”




##SYN-FLOOD VÖRN
# Þessi regla ákveður hraðan sem innkomandi tengingar geta tengst (ekki download hraði, heldur hversu oft í röð þær geta tengst)
#

iptables -N syn-flood
iptables -A INPUT -i $NETDEVICE -p tcp –syn -j syn-flood
iptables -A syn-flood -m limit –limit 1/s –limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP


## Make sure NEW tcp connections are SYN packets
#Verum viss um að nýjar (NEW) tcp tengingar eru SYN pakkar
iptables -A INPUT -i $NETDEVICE -p tcp ! –syn -m state –state NEW -j DROP



## FRAGMENTS
# Fragments eru slæmar…banna og logga!
iptables -A INPUT -i $NETDEVICE -f -j LOG –log-prefix “IPTABLES FRAGMENTS: ”
iptables -A INPUT -i $NETDEVICE -f -j DROP





#Þessar línur athuga hvort tengingarnar eigi erindi hingað inn
#Ef þú villt líka loka á ICMP þá geturðu sleppt -p færslunum
iptables -A INPUT -p tcp -d $STATICIP -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m state –state NEW -i ! $NETDEVICE -j ACCEPT
iptables -A INPUT -p udp -d $STATICIP -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp -m state –state NEW -i ! $NETDEVICE -j ACCEPT


#Það er ekki þörf á öðrum tengingum inn en þegar eru leyfðar..loka á ALLT!
iptables -A INPUT -p tcp -i $NETDEVICE -j DROP
iptables -A INPUT -p udp -i $NETDEVICE -j DROP


iptables -A INPUT -i $NETDEVICE -s $LOCALNET -j DROP


#óþarfi að leyfa meira út en þegar er skilgreint.
iptables -A FORWARD -i $NETDEVICE -j DROP
echo “lokað á óþarfa tengingar”

#stoppum þessi leiðinda ping :)
iptables -A INPUT -i $NETDEVICE -p icmp –icmp-type echo-request -j DROP
iptables -A OUTPUT -o $NETDEVICE -p icmp –icmp-type echo-reply -j DROP
echo “lokað fyrir ping inn”



#Policies
iptables -P FORWARD DROP
#iptables -P OUTPUT DROP
# af stað með forwarding (just in case)
echo “1” > /proc/sys/net/ipv4/ip_forward



echo “JReykdal/hugi.is Eldveggur hefur verið reistur”
echo “v1.01b 03.07.01”

<h
JReykdal