Є шлюз із встановленою Слакою 12,2. Шлюз має 2 інтерфейси, один локалка інший нет. Є реальная айпішка.
Oсь конфіг iptables
IPT="/usr/sbin/iptables"
INET_IFACE="ppp0"
INET_IP="xxx.xxx.xxx.xxx"
LAN="192.168.0.0/24"
UNPRIPORTS="1024:65535"
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -F
$IPT -X
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p udp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p icmp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p tcp -s $LAN -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p udp -s $LAN -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp -i ppp0 --dport 80 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.55 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.3 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.57 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.57 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.177 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.177 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.145 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.145 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.63 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.18 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.2 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.160 -o ppp0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPT -A FORWARD -s 192.168.0.130 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.56 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.197 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.131 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.156 -o ppp0 -j ACCEPT
Коли я онлайново сканернув ІР nmap'ом то ось що мені він видав
Nmap Options: -p1-65535 -T4 -sS xxx.xxx.xxx.xxx
Starting Nmap 4.75 ( http://nmap.org ) at 2011-04-15 08:58 St?ední Evropa (letní ?as)
Interesting ports on хх-хх-хх-хх.ip.ukrtel.net (ххх.ххх.ххх.ххх):
Not shown: 65534 filtered ports
PORT STATE SERVICE
80/tcp open httpЯк зрозуміти ось це Not shown: 65534 filtered ports. Це коли скан іде по tcp.
А ось по udp
Nmap Options: -T4 -sU ххх.ххх.ххх.ххх
Starting Nmap 4.75 ( http://nmap.org ) at 2011-04-15 09:22 St?ední Evropa (letní ?as)
All 1000 scanned ports on ххх-ххх-ххх-ххх.ip.ukrtel.net (ххх.ххх.ххх.ххх) are open|filtered
Nmap done: 1 IP address (1 host up) scanned in 16.37 seconds
А ось це як зрозуміти All 1000 scanned ports on ххх-ххх-ххх-ххх.ip.ukrtel.net (ххх.ххх.ххх.ххх) are open|filtered
По замовчуванні політика INPUT DROP.
Є в цьому щось небезпечне і чи потрібно щось міняти. Порт апача я сам відкрив.
І як зробити так щоб писало, що всі порти закриті крім 80.
