Adott az alabbi tuzfal ami meg egyaltalan nem tokeletes csak probalkozom. VAn 3 halokartya a szerveremben az egyik megy a net fele (eth0) a masik ketto a ket gep fele (eth1 es eth2). A problema az hogy a ket user gep pingelni tudja egymast de adataikat sem az egyikrol sem a masikrol nem tudom elerni. Meg a tuzfalat is tokeletesiteni kellene. Foleg a logolas erdekelne, ugy kellene megcsinalni hogy ami lenyeges azt logol-ja es atlathato legyen. Mert most meg nem valami atlathato.
Elore is koszi a segitsegeket.
Orulnek ha valaki segiteni egy kicsit atlathatobba tenni.
Itt a tuzfalam szerintem egy kis osszevisszasag van benne:
iptables -A kulso-fw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 20:22 -j ACCEPT iptables -A kulso-fw -m state --state NEW -p tcp --dport 80 -j ACCEPT iptables -A kulso-fw -m state --state NEW -p tcp --dport 113 -j ACCEPT iptables -A kulso-fw -m state --state NEW -p tcp --dport 443 -j ACCEPT
#Az ICMP hibajelzõ-csomagokat beengedjük, egyébként az irányítást # visszaadjuk a hívó-láncnak:
iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
#engedelyezesek
iptables -A belso-halo -j ACCEPT iptables -A halo-belso -j ACCEPT
iptables -A kulso-halo -j ACCEPT iptables -A halo-kulso -j ACCEPT
iptables -A kulso-belso -j ACCEPT iptables -A belso-kulso -j ACCEPT
# log
iptables -A drop -m limit -j LOG --log-level info --log- prefix "WARNING: DROP: "
# drop
iptables -A drop -j DROP
Még nem sikerült átbogarásznom roppant szövevényes beállításaidat, de máris megfogalmazódott bennem néhány kérdés. Minek ilyen bonyolult beállítás? Ha jól értem összesen 3 db géped van. 1db a gateway 2db kliens. Az a lényeg, hogy mire akarod õket használni. Miért kell 3 db háló kártya a gépbe. 1 tartja a kapcsolatot a külsõ hálóval, 1 pedig elég a belsõ hálónak. Annak a kábelét bedugod egy switch-be, meg a két kliens kábelét is be a switch-be és kész. Ha nem szolgáltatsz kifele semmit (webszerver, ftp szerver, mail szerver, stb.) akkor az iptables.conf -ba elég két sor, nem kell ez a végtelen litánia. A két kliens bedig a tûzfaladtól függetlenül simán elérik egymás adatait. Ha pedig akarsz valamilyen kivülrõl is elérhetõ szolgáltatást, akkor az iptables kevés lesz, kell valami jó kis proxytûzfal, mondjuk a zorp (magyar nyelvû leírása és konfigja van).