Konfiguracja firewall odbywa się poprzez strukturę katalogów i plików
katalog głowny
# mkdir /etc/gen/firewall
Dodanie dostępu dla hosta ns2 ip 109.197.47.12 (domyślnie wszystko accept)
# mkdir /etc/gen/firewall/ns2:109.197.47.12Dodawanie dostępu dla usługi polega na utworzeniu katalogu o strukturze numer_portu:protokół:nazwa_łańcucha czyli 22:tcp:ssh utworzy dostęp dla portu 22 protokół tcp
Możliwe protokoły do wyboru:
- tcp
- udp
- both - dwa powyższe
Domyślnie puste katalogi ustawiają dostęp na ACCEPT.
Aby ograniczyć dostęp do wybranych ip tworzymy w katalogu usługi plik o nazwie allow. W pliku wpisujemy w oddzielnych liniach adresy ip/sieci z maska które mają mieć dostęp
uwaga: plik na końcu musi mieć tylko jedna pustą linie, inaczej zgłasza błąd postaci:
+ /sbin/iptables -t filter -A host_3306tcp -s 91.226.6.19 -j ACCEPT + read -a line_adr + /sbin/iptables -t filter -A host_3306tcp -s -j ACCEPT Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information.
Aby dodać dostęp do usługi dla całej sieci 192.168.0.0/24 ale wykluczyć ip 192.168.0.100 tworzymy plik deny z podanym adresem ip 192.168.0.100
uwaga: plik na końcu musi mieć jedna pustą linie
# mkdir /etc/gen/firewall/ns2:109.197.47.12/22:tcp:ssh/ # touch /etc/gen/firewall/ns2:109.197.47.12/22:tcp:ssh/allow
- w pliku allow podajemy linie po lini adresy ip które mają mieć dostęp do serwera
Przykładowy plik allow
# cat allow 195.54.47.32 83.238.117.158
Po wprowadzeniu zmian w konfiguracji należy wykonać restart poleceniem /etc/init.d/ip_firewall restart