Permanent setup og tweaks af iptables

Fra wiki.iptables.dk
Skift til: navigering, søgning

For får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves:

Indsæt i /etc/sysctl.conf:

#Load iptables moduler:
net.netfilter.nf_conntrack_acct = 1

#Slaa IPv4 routening til (hvis box'en skal route eller lave NAT):
net.ipv4.ip_forward = 1
#Haev timeout'en paa TCP forbindelser, hvor der er kommet retur-trafik:
net.netfilter.nf_conntrack_tcp_timeout_established = 7440

#Haev timeout'en paa UDP forbindelser, hvor der er kommet retur-trafik:
net.netfilter.nf_conntrack_udp_timeout_stream = 300

#Haev hvor mange forbindelser der kan huskes:
net.netfilter.nf_conntrack_max = 131072
net.netfilter.nf_conntrack_buckets = 32763

#Saet Linux til at bruge standart port-rangen for dynamiske porte:
net.ipv4.ip_local_port_range = 49152 65535

Indsaet i /etc/modules:

#Indlaes conntracking-modulet (hvis box'en skal lave NAT eller statefull firewall):
nf_conntrack
nf_conntrack_ipv4

#Indlaes ftp hjaelpe-modulet:
nf_conntrack_ftp

Indsæt det med fed i /etc/network/interfaces (indsæt kun på primær interface):

auto eth0 inet static
       address 10.22.0.1
       netmask 255.255.255.0
       up /sbin/iptables-restore < /etc/network/iptables.state

Gem iptables konfiguration i /etc/network/iptables.state:

/sbin/iptables-save > /etc/network/iptables.state