無料インターネットを持つローカルネットワークのiptablesルールは、インターネットからサーバーへの不要な接続をブロックしますか?

無料インターネットを持つローカルネットワークのiptablesルールは、インターネットからサーバーへの不要な接続をブロックしますか?

私はローカルネットワーク用のeth0とインターネット用のeth1(動的IPを持つケーブルモデム)を持つホームサーバー(Slackware 13を含む)を持っています。

iptablesについてもっと学びたいのですが、まだ進行中であり、いくつかのルールを完了する必要がありますが、サーバーが破損したくないので、それを行う方法を学ぶまでそれを行うことはできません。このステップ。

現在、私のルールとすべてを使用できるVMがあります。誰かがiptablesが次のことを行うようにファイアウォールルールをラップすることができれば本当に感謝します。

  1. eth0のdhcpサーバー上のすべてのユーザーがインターネットとサーバーへのフルアクセス権を持つことを許可します。つまり、eth0にはネットワークとサーバー内の制限はありません。
  2. すべてのユーザーがサーバーを作成できるようにします。たとえば、ウォークラフトなどのゲームをプレイしてゲームを作成する場合、ファイアウォールはこれらの接続ネゴシエーションを許可する必要があります。
  3. サーバーまたはネットワークユーザーが起動しない限り、インターネットからサーバーへのすべての要求をブロックします。

答え1

それでは、デフォルトではLinuxボックスはファイアウォールとして機能しますか?

まず、IP転送を有効にします。

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

次に、いくつかの転送ルールを追加します。

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

FORWARDチェーンを保護します。

iptables -P FORWARD DROP

NAT ルールを作成します。

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

最後に、デフォルトのパスがあることを確認することを忘れないでください。

ip route show | grep default

次のような内容が表示されます。

default via <IP_of_eth1's_gateway> dev eth1

そうでない場合は、1つを追加してください。

ip route add default vie <IP_of_eth1's_gateway> dev eth1

(通常、DHCPクライアントは自動的に1つを追加します)

答え2

サーバーを許可するには、ポート転送ルールを手動で追加するか、uPnPデーモンを使用できます(アプリケーションがuPnPをサポートしている場合 - 多くのアプリケーションがサポートしています...)[linux-igd][1]

NAT-PMP は類似しており、他のアプリケーションで使用されます。 Linuxの1つの実装はここ

関連情報