Kør en webserver inde LAN er et simpelt script til at køre en WWW-server inde i en Local Area Network. Køre en webserver inde LAN script påtage sig alle iptables funktioner er kompileret statisk i kernen, eller alle moduler er indlæst.
Ellers kan du støde på nogle overraskelser forsøger at udnytte de mere funktionsfyldt og kreative kommandolinieer, som jeg har kommet op med.
Prøve:
#External og interne grænseflader
EXT = eth0
INT = eth1
# Klare alt, og skabe mine cascading kæder
iptables -F
iptables -N e0
iptables -N tcpin
iptables -N udpin
# E0 er navnet på vores kæde til eth0
iptables -I INPUT -i $ EXT -j e0
# OUTPUT Chain
iptables -A OUTPUT -o $ EXT -j DROP -p ICMP --icmp-type! echo-request
# Fjerntliggende Gnutella forespørgsler blev virkelig pissing mig en dag
# iptables -A OUTPUT -o $ EXT -j DROP -p tcp! --syn --dport 6346
# iptables -A OUTPUT -o $ EXT -j DROP -p tcp! --syn --sport 6346
# $ EXT Chain
# En enkelt regel, at acceptere SYN pakker til flere porte (op til 15)
iptables -A tcpin -j ACCEPT -p tcp --syn -m multiport --destination-porte 873,993,995,143,80,113,21,22,23,25,53
# Stateful tilslutning tracking er vidunderlige ting
# TCP forbindelser lad gennem
# Hvis vi sender en SYN ud, er ACK ses som relateret
# Derefter yderligere kommunikation er accepteret af den etablerede regel
iptables -A e0 -j ACCEPT -m state --state NEDSAT
iptables -A e0 -j ACCEPT -m state --state RELATEREDE
# Visse havne jeg simpelthen DROP
iptables -A tcpin -j DROP -p tcp --syn -m multiport --destination-porte 6346.139
# UDP regler ...
iptables -A udpin -j DROP -p UDP-m multiport --destination-porte 137,27960
# Jeg køre en DNS-server, så vi skal acceptere UDP-pakker på port 53
iptables -A udpin -j ACCEPT -p udp -m state --state NEW --destination-port 53
# Lad os logge NYE UDP-pakker på portene 1024: 65.535, så lad dem gennem
iptables -A udpin -j LOG -p UDP -m state --state NEW --destination-port 1024: 65.535 --log niveau debug --log-præfiks UDPNEW --log-ip-muligheder
iptables -A udpin -j ACCEPT -p udp -m state --state NEW --destination-port 1024: 65535
# Lad os log NYE TCP-pakker på portene 1024: 65.535, så lad dem gennem
iptables -A tcpin -j LOG -p tcp --syn --destination-port 1024: 65535 --log niveau debug --log-præfiks TCPNEW --log-tcp-optioner --log-ip-muligheder
iptables -A tcpin -j ACCEPT -p tcp --syn --destination-port 1024: 65535
# Lad os logge ugyldig eller NEW TCP-pakker på priveleged porte, så drop
# (Husk jeg har visse ACCEPTERE regler højere op kæden)
iptables -A tcpin -j LOG -p tcp -m state --state INVALID, NEW --destination-port 1: 1023 --log niveau advare --log-præfiks TCPPRIV --log-tcp-indstillinger --log- ip-muligheder
iptables -A tcpin -j DROP -p TCP -m state --state INVALID, NEW --destination-port 1: 1023
iptables -A e0 -p tcp -j tcpin
iptables -A e0 -p udp -j udpin
iptables -A e0 -j LOG --log-niveau debug --log-præfiks NetFilter --log-ip-indstillinger -m state --state INVALID, NY
iptables -A e0 -j DROP
# NAT Regler
# Jeg køre en webserver inde ...
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.1.4:80
Kommentarer ikke fundet