Rekisteröitymätön käyttäjä
Ero sivun ”Iptables/Reititin” versioiden välillä
Siirry navigaatioon
Siirry hakuun
ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa |
Ei muokkausyhteenvetoa |
||
| Rivi 96: | Rivi 96: | ||
Netistä löytää vielä vanhoja TransListenAddress- ja DNSListenAddress-asetuksia mutta ne on poistettu käytöstä ja niiden tiedot tulee nykyään TransPort- ja DNSPort-yhteyteen. Lopulta luodaan tor-lokitiedosto käskyillä touch /var/log/tor/notices.log, chown debian-tor /var/log/tor/notices.log ja chmod 644 /var/log/tor/notices.log. | Netistä löytää vielä vanhoja TransListenAddress- ja DNSListenAddress-asetuksia mutta ne on poistettu käytöstä ja niiden tiedot tulee nykyään TransPort- ja DNSPort-yhteyteen. Lopulta luodaan tor-lokitiedosto käskyillä touch /var/log/tor/notices.log, chown debian-tor /var/log/tor/notices.log ja chmod 644 /var/log/tor/notices.log. | ||
Minimaalinen palomuurikonffaus luodaan | Minimaalinen palomuurikonffaus luodaan tallentamalla seuraava tiedosto /etc/iptables-torproxy.conf-nimisenä: | ||
iptables -A PREROUTING -i enp2s0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 | # Generated by iptables-save v1.8.9 (nf_tables) on Thu Apr 18 23:22:16 2024 | ||
*filter | |||
:INPUT DROP [219:20442] | |||
:FORWARD DROP [0:0] | |||
:OUTPUT DROP [1266:95320] | |||
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | |||
-A INPUT -s 192.168.42.0/24 -d 192.168.42.1/32 -p tcp -m tcp --dport 9040 -j ACCEPT | |||
-A INPUT -s 192.168.42.0/24 -d 192.168.42.1/32 -p udp -m udp --dport 53 -j ACCEPT | |||
-A OUTPUT -s 192.168.42.1/32 -d 192.168.42.0/24 -p tcp -m tcp --sport 9040 -j ACCEPT | |||
-A OUTPUT -s 192.168.42.1/32 -d 192.168.42.0/24 -p udp -m udp --sport 53 -j ACCEPT | |||
-A OUTPUT -s 192.168.122.152/32 -d 192.168.122.1/32 -p tcp -m tcp --sport 22 -j ACCEPT | |||
-A OUTPUT -m owner --uid-owner 106 -j ACCEPT | |||
COMMIT | |||
# Completed on Thu Apr 18 23:22:16 2024 | |||
# Generated by iptables-save v1.8.9 (nf_tables) on Thu Apr 18 23:22:16 2024 | |||
*nat | |||
:PREROUTING ACCEPT [30:7663] | |||
:INPUT ACCEPT [356:25004] | |||
:OUTPUT ACCEPT [304:20876] | |||
:POSTROUTING ACCEPT [2:120] | |||
-A PREROUTING -i enp2s0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 | |||
-A PREROUTING -i enp2s0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040 | |||
COMMIT | |||
# Completed on Thu Apr 18 23:22:16 2024 | |||
ja | Nämä iptables-säännöt ovat kattavammat ja tämän jälkeen sisäverkossa on auki vain portit 53 (DNS) ja 9040 (tor). Sopii myös huomioida että nämä iptables-säännöt on tehty Debianilla ja tässä tapauksessa käyttäjä 106 on debian-tor. Muissa jakeluissa voi olla toisin. | ||
Sisäverkon laite pitää konffata. Avataan /etc/network/interfaces ja lisätään siihen rivit: | Sisäverkon laite pitää konffata. Avataan /etc/network/interfaces ja lisätään siihen rivit: | ||