Permanent setup og tweaks af iptables

Fra PerMejdal
Spring til navigation Spring til søgning
Den printbare version understøttes ikke længere, og har muligvis nogle renderingsfejl. Opdater venligst din browsers bogmærker og brug i stedet din browsers standard printfunktion.

For får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves:

Indsæt i /etc/sysctl.conf: 

#Load iptables moduler:
net.netfilter.nf_conntrack_acct = 1

#Slaa IPv4 routening til (hvis box'en skal route eller lave NAT):
net.ipv4.ip_forward = 1

#Haev timeout'en paa TCP forbindelser, hvor der er kommet retur-trafik:
net.netfilter.nf_conntrack_tcp_timeout_established = 7440

#Haev timeout'en paa UDP forbindelser, hvor der er kommet retur-trafik:
net.netfilter.nf_conntrack_udp_timeout_stream = 300

#Haev hvor mange forbindelser der kan huskes:
net.netfilter.nf_conntrack_max = 131072
net.netfilter.nf_conntrack_buckets = 32763

#Saet Linux til at bruge standart port-rangen for dynamiske porte:
net.ipv4.ip_local_port_range = 49152 65535

Indsaet i /etc/modules: 

#Indlaes conntracking-modulet (hvis box'en skal lave NAT eller statefull firewall):
nf_conntrack
nf_conntrack_ipv4

#Indlaes ftp hjaelpe-modulet:
nf_conntrack_ftp

Indsæt det med fed i /etc/network/interfaces (indsæt kun på primær interface): 

auto eth0 inet static
       address 10.22.0.1
       netmask 255.255.255.0
       up /sbin/iptables-restore < /etc/network/iptables.state

Gem iptables konfiguration i /etc/network/iptables.state: 

/sbin/iptables-save > /etc/network/iptables.state
Hentet fra "https://wiki.permejdal.dk/w/index.php?title=Permanent_setup_og_tweaks_af_iptables&oldid=34"