[Comm] Покритикуйтебезопасность

[Владимир]

Alexey N. Shananin пишет:

>Привет! 
>
>Есть 2 хоста: alex и nick.
>1) alex: 
>	ppp0 - интернет
>	eth0 - 192.168.0.0/16
>	eth1 - nick(10.0.0.2)
>2) nick:
>	eth0 - alex(10.0.0.3)
>
>На nick настроен шлюз по умолчанию - alex. 
>На alex запускается следующий скрипт rc.firewall: 
>--------------------------------
>iptables -N block
>iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
>iptables -A block -j DROP
>iptables -A INPUT -j block
>
>iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j 
>ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j 
>ACCEPT
>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
>iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>---------------------------------
>то есть я(alex) хочу маскарадить хост nick и в локальную и в интернет в то же 
>время не хочу чтобы кто-то другой кроме nick мог использовать меня как шлюз 
>или для маскарада.
>также, хочу чтобы никто из интернета не коннектился ко мне(цепочка block).
>Я правильно написал всё?  
>
>Спасибо! 
>
>  
>
А где rules для протоколов udp и icmp?
Без правил для них поимеете много бед.
По tcp иногда стоит открыть для внешних --syn порт 113.
Не знаю у кого как, а мои логи в последнее время
забиты  --state NEW  ! --syn --dport 25. Из такого всплеска
активности можно предположить, что спалмеры откопали
какую то дырку.

-- 
Best regards
Vladimir