irado
(usa XUbuntu)
Enviado em 10/08/2010 - 10:37h
quase isso mas não é bem isso. Olhando lá no link que vc menciona, acho o script razoável, EXCETO pelo seguinte:
se as politicas são DROP, nada justifica um montão de DROP nas regras. SE não vai passar de qualquer forma (e não vai, dada a politica) tudo o mais que vc faça é "encheção de linguiça". Tem chefe que gosta, enche os olhos (não serve pra po**a nenhuma, mas fica bonitinho pro chefe).
esta regra # PROTEÇÃO CONTRA PING DA MORTE # é útil, embora a minha seja levemente diferente:
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 5/sec --limit-burst 5 -j ACCEPT
e, finalmente, a sua regra de postrouting poderia ser mais genérica, fazendo-se o controle pelo forwarding ;)
a regra msn (última regra) jamais será vista porque a regra # ATIVA O MASCARAMENTO DE SAÍDA # vai ser "vista" primeiro.
as regras iptables são lidas sequencialmente, a primeira a ser atingida é atendida e o resto.. ignorado.
ah, sua regra de postrouting poderia ser bem genérica, fazendo-se o controle pelas regras de forwarding; se vc nao tem um forwarding, não adianta ter postrouting ;)
divirta-se :)
