Permanent setup og tweaks af iptables: Forskelle mellem versioner
Spring til navigation
Spring til søgning
Pmr (diskussion | bidrag) (Oprettede siden med "For får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves: Indsæt i /etc/sysctl.conf: #Load iptables moduler: net.netfilter.nf_conntrack_...") |
Pmr (diskussion | bidrag) No edit summary |
||
(En mellemliggende version af den samme bruger vises ikke) | |||
Linje 1: | Linje 1: | ||
For får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves: | For at får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves: | ||
Indsæt i /etc/sysctl.conf: | Indsæt i /etc/sysctl.conf: | ||
Linje 9: | Linje 9: | ||
#Haev timeout'en paa TCP forbindelser, hvor der er kommet retur-trafik: | #Haev timeout'en paa TCP forbindelser, hvor der er kommet retur-trafik: | ||
net.netfilter.nf_conntrack_tcp_timeout_established = 7440 | net.netfilter.nf_conntrack_tcp_timeout_established = 7440 | ||
#Haev timeout'en paa UDP forbindelser, hvor der er kommet retur-trafik: | #Haev timeout'en paa UDP forbindelser, hvor der er kommet retur-trafik: | ||
net.netfilter.nf_conntrack_udp_timeout_stream = 300 | net.netfilter.nf_conntrack_udp_timeout_stream = 300 | ||
#Haev hvor mange forbindelser der kan huskes: | #Haev hvor mange forbindelser der kan huskes: |
Nuværende version fra 16. jan. 2020, 11:38
For at får iptables til at køre bedre og stadig virker efter en genstart, skal dette laves:
Indsæt i /etc/sysctl.conf:
#Load iptables moduler: net.netfilter.nf_conntrack_acct = 1 #Slaa IPv4 routening til (hvis box'en skal route eller lave NAT): net.ipv4.ip_forward = 1
#Haev timeout'en paa TCP forbindelser, hvor der er kommet retur-trafik: net.netfilter.nf_conntrack_tcp_timeout_established = 7440 #Haev timeout'en paa UDP forbindelser, hvor der er kommet retur-trafik: net.netfilter.nf_conntrack_udp_timeout_stream = 300 #Haev hvor mange forbindelser der kan huskes: net.netfilter.nf_conntrack_max = 131072 net.netfilter.nf_conntrack_buckets = 32763 #Saet Linux til at bruge standart port-rangen for dynamiske porte: net.ipv4.ip_local_port_range = 49152 65535
Indsaet i /etc/modules:
#Indlaes conntracking-modulet (hvis box'en skal lave NAT eller statefull firewall): nf_conntrack nf_conntrack_ipv4 #Indlaes ftp hjaelpe-modulet: nf_conntrack_ftp
Indsæt det med fed i /etc/network/interfaces (indsæt kun på primær interface):
auto eth0 inet static address 10.22.0.1 netmask 255.255.255.0 up /sbin/iptables-restore < /etc/network/iptables.state
Gem iptables konfiguration i /etc/network/iptables.state:
/sbin/iptables-save > /etc/network/iptables.state