[mdk-re] Re: help understand please (Firewall)

[Mikhail Zabaluev]

Hello Olga,

On Mon, Jan 21, 2002 at 03:44:18PM +0700, Olga wrote:
>
> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 
> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 

У меня работает следующий кусок в ipchains:

ipchains -N frominet
ipchains -A input -i eth0+ -j frominet
ipchains -A frominet -p udp -s 10.254.0.2/32 domain -j ACCEPT
ipchains -A frominet -p udp -s 217.10.32.0/24 domain -j ACCEPT
ipchains -A frominet -p udp -s 212.45.0.3/32 domain -j ACCEPT
ipchains -A frominet -p udp -s 195.2.64.0/24 -d 0.0.0.0/0 ntp -j ACCEPT
ipchains -A frominet -p tcp -y -j REJECT -l
ipchains -A frominet -p udp -j REJECT -l

Цепочка frominet обрабатывает все пакеты, пришедшие с eth0.
Правила на domain и ntp разрешают обмен по UDP для соответствующих
протоколов с нужных мне серверов. Предпоследнее правило сбивает все
попытки установить TCP-соединение извне и не затрагивает соединения,
установленные с моей машины.

C iptables похожая возня, но мне пока было лень их изучить.

-- 
Stay tuned,
  MhZ                                     JID: mookid на jabber.org
___________
No problem is so formidable that you can't just walk away from it.
		-- C. Schulz