Vyborny clanek, diky za nej. Tez bych se pridal k prosbe, aby se casem objevilo i neco o pripojovani siti, pripadne clanky o tom jak konfigurovat linux pro modelove situcace - poc doma, mala sit se stahovatkem mailu s priklady, setri toi spustu casu s hledanim, ktere manualove stranky cist...
a.
Prave ze kazdy paket ne. Nektere na tvem pocitaci skonci (napriklad vyzadana WWW stranka) a tudiz se pro ne uplatni jen pravidlo input. Dalsi na tvem pocitaci muze vzniknout (napr. request na WWW stranku) a tudiz se na nej uplatni jen pravidlo output.
Pokud tvuj comp zaroven neslouzi jako router, tak si pravidla forward moc neuzijes (i kdyz dalo by se neco vymyslet, nicmene standardni situace to nevyzaduji), ale pokud to router/firewall je, tak je napriklad mozne zakazat forward portu 80 z vnitrni site a tim donutit uzivatele pouzivat tvoji proxy. V tomhle pripade navic muzes mit povolen input na port 80 i output z portu 80 v pripade, ze zaroven provozujes na tom routeru i webserver (coz BTW neni uplne genialni napad).
Takze jak vidis, rozdeleni chainu ma sve opodstatneni i vyuziti.
Pro toho rozumprda, co zi rika Avenger: odpovedet se da i min arogantne.
Ma sve opodstatneni - prave v souvislosti s volbou -l.
Je dobre mit ipchains s povolenymi porty pouze pro poskytovane a potrebne sluzby a jako fallback pravidlo (resp. tri fallback pravidla, pro tcp, udp a icmp) mit -l -j REJECT.
A bud cas od casu prohlizet logy, nebo lepe na ne nastavit trigger (treba swatch). Clovek pak vi, na co si ma davat pozor.
Eh, samozrejme, pro ICMP jen -l, nikoli -j REJECT, hlavo derava. :*)
INPUT - packety, prichazejici zvenku
OUTPUT - prekvapive, packety, odchazejci ven
FORWARD - prijde k lizu jenom v pripade, ze je stroj pouzivan jako router - t.j. packety, ktere pres stroj prochazi, ale nejsou pro nej urceny.
Lehka specialita je interface 'lo', packety, ktere na nej jdou, projdou vsemi tremi chainy, ale je to logicke.
Take vysoce cenim tento clanek a primlouvam se k pokracovani, podrobnejsi vysvetleni ipchains, nat, masquerady, ... prakticke priklady ne neco opsane odnekud z manualu, ale i teorie neuskodi.
neodpustim si jednu poznamku (nebo dodaz? mozna jsem spatne pochopil)
v clanku se vyskytuje tvrzeni:
'není důvod povolit pakety přicházející na port 25 z Internetu'
?a jak bych potom prijimal maily z internetu?
Pokud nemáš nastavené MX na svůj stroj, tak port 25 skutečně není potřeba otevírat. Máš-li na sebe nasměrovaný MX záznam v DNS, pak se ale asi nepřipojuješ přes dial-up. :)
Robert:Kdyz jsi pripojenej pres dialup, sahas si pro postu na vzdaleny postovni server, ktery se bavi s Inetem na SMTP portu 25. Kdyz si ji ale z tohohle serveru stahujes, nejede k tobe uz po SMTP ale POP3 portu 110. Takze zaslapnuty port 25 podle me neuskodi... Clanek byl sq. Jsem pro to rozhodne donutit autora pokracovat :-).
rad by som prispel vlastnou skusenostou: pokial pozivate shaper, treba si dat pozor na rp_filter, prave sa mi podarilo pomocou toho 'zrusit linku' jednomu zakaznikovy...
Mnohokrat diky za tento clanek, hned jsem si ho zalozil. Take ja bych moc prosil o pokracovani na tema ROUTER, dnes jde o velmi aktualni tema.
Jeste jednou diky a tesim se na pokracovani
Lubos
