NAT + FIrewall - je to dobre?

[etki]

pomocou webmina som vygeneroval toto:

Kód: [Vybrat]

# Generated by iptables-save v1.3.6 on Sat Nov  3 18:42:44 2007
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
# Internal network
-A PREROUTING -i eth1 -j ACCEPT
# Internal network
-A PREROUTING -i lo -j ACCEPT
# connection
-A PREROUTING -m state -i eth0 --state ESTABLISHED,RELATED -j ACCEPT
COMMIT
# Completed on Sat Nov  3 18:42:44 2007
# Generated by iptables-save v1.3.6 on Sat Nov  3 18:42:44 2007
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat Nov  3 18:42:44 2007
# Generated by iptables-save v1.3.6 on Sat Nov  3 18:42:44 2007
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports ssh,www,https,pop3,smtp,imap,imaps,pop3s,10000
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Respond to pings
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
# Protect our NFS server
-A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP
# Protect our X11 display server
-A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP
# Protect our X font server
-A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP
# Allow connections to unprivileged ports
-A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
# Allow traceroutes
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT
COMMIT
# Completed on Sat Nov  3 18:42:44 2007
je to dobre?
potrebujem tam doplnit aby mi slo vnc na server neviem aky port pouziva vnc - co mam dopisat.
Bude mi fachcit icq, skype, msn, ekiga a torrent? ked nie co tam treba dopisat?

[klasyc]

Ahoj, vypadá to dobře. Na začátku je definovaná maškaráda, takže se se klienti za serverem budou tvářit jako jedno PC => nebude ti chodit soft, který vyžaduje aktivní připojení zvenku (např. eMule v aktivním režimu) - to se musí nastavit. Pak jsem koukal, že v tomhle řádku -A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports ssh,www,https,pop3,smtp,imap,imaps,pop3s,10000 jsou definovány služby, přístupné zvenčí. Vyházel bych ty, které nepoužíváš. Naopak tam budeš muset přidat porty pro VNC, pokud se budeš připojovat zvenčí. Jinak je to OK

[etki]

vsetky uvedene porty minim pouzivat navyse som pridal 9500 kvôli vnc a tiez este jeden port kvoli swat
Ake porty nastavit aby sli torenty - konkretne azureus?

[nanotop]

Nebuďte líný, pane kolego a porty pro azureus si najděte na Internetu. Tady se bavíme o Ubuntu linuxu. Snad nečekáte, že vám někdo zde bude dělat podporu pro jakousi aplikaci azureus?

[wifiman]

Port pro azureus si snad nastavíš v něm, třeba 6670 a ten pak samozřejmě povolíš v iptables.

[etki]

do spominaneho konfigu som dopísal
-A INPUT -p tcp --dport 55555 -j ACCEPT
-A INPUT -p udp --dport 55555 -j ACCEPT

lenze azureus mi stale vyhadzuje chyba NAT

Kdesi som sa docital ze treba forvardnut pripojenie na IP s pocitacom na ktorom azureus bezi len neviem ako