Firewall (iptables)

Dieses Thema: "Firewall (iptables)" im Forum "Firewalls" wurde erstellt von iriqi, 25.01.2005.

  1. iriqi

    iriqi Grünschnabel

    Dabei seit:
    24.01.2005
    Beiträge:
    8
    Zustimmungen:
    0
    hallo leute,

    hab da ein kleines problem....

    ich möchte eine firewall konfigurieren (iptables)
    ich hab ein iptables script geschriiben!

    es soll folgende kriterien erfüllen...

    von innen nach aussen alles verboten ausser
    #SMTP
    #DNS
    #DNS
    #POP3
    #NNTP
    #HTTPS
    und von aussen nach innen ist alles verboten.
    der ganze unerlaubte verkehr soll geloggt werden.

    ich weis nicht ob mein script diesen kriterien entspricht??? und funktionieren tut es auch nicht!

    eth1 geht zum windows 2000 pc
    eth0 geht ins internet

    also meine frage wäre, ob mir jemand sagen könnt was an meinem script falsch ist? und was ich ändern sollte damit es funktioniert!
    ich bin für alle antworten sehr dankbar!

    das ist mein script:

    iptables -Z
    iptables -X
    iptables -F

    echo 1 >> /proc/sys/net/ipv4/ip_forward

    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP
    iptables -P INPUT DROP

    iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT #HTTP
    iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT #HTTP

    iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT #SMTP
    iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT #DNS
    iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT #DNS
    iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT #POP3
    iptables -A OUTPUT -p tcp --sport 1024: --dport 119 -j ACCEPT #NNTP
    iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT #HTTPS

    iptables -A INPUT -j LOG
    iptables -A OUTPUT -j LOG

    iptables -A INPUT -j DROP
    iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
    iptables -A OUTPUT -j DROP

    iptables -A FORWARD -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #abgehende pakete
    iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #ankommende pakete

    iptables -A FORWARD -j LOG

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


    gruss iriqi 8)
     
  2. Anzeige

    schau mal hier --> (hier klicken). Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. khs

    khs Routinier

    Dabei seit:
    19.08.2004
    Beiträge:
    408
    Zustimmungen:
    0
    Was funktioniert denn nicht? Genauere Infos waeren nett: gibt es Rueckmeldungen beim Aufruf? Welche? Siehst du alle tables und Eintraege mit iptables -nL? Welche Netzwerkfunktionen gehen, welche nicht (ping lokal, ping router, ping netz)? Was erscheint im Logfile/dmesg?

    Beim ueberfliegen des Scripts haben mich keine Fehler angesprungen (das muss aber nicht viel heissen... ;)).
    Deshalb waere, wie gesagt, interessant, was genau nicht geht.

    -khs
     
  4. iriqi

    iriqi Grünschnabel

    Dabei seit:
    24.01.2005
    Beiträge:
    8
    Zustimmungen:
    0
    hallo

    ok was geht und was geht nicht!

    also zuerst mal gibt es keine rückmeldungen und ja ich sehe alle tables und eintraege mit iptables -nL!
    ping eth1 vom windows 2000 pc geht! aber ping ins internet geht nicht ?(

    gruss iriqi 8)
     
  5. #4 h2owasser, 25.01.2005
    h2owasser

    h2owasser Sxe Power User

    Dabei seit:
    07.12.2002
    Beiträge:
    491
    Zustimmungen:
    0
    Hmm, das finde ich jetzt gerade aber auch merkwürdig. Vielleicht Droppe erstmal alles. (Dann sollte selbst Ping nicht mehr gehen.) Und erlaube dann Schritt für Schritt mehr und teste.
    (außerdem bin ich ich mir gerade nicht sicher ob du port 1024 verwenden kannst, da user doch auf alles port > 1024 verbinden dürfen. Naja, das kommt erst später)
     
  6. #5 HangLoose, 25.01.2005
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin

    die OUTPUT chain ist nur für pakete zuständig, die vom rechner kommen auf dem das iptables script läuft. für die pakete, die von deinem win 2000 rechner kommen, ist die FORWARD chain zuständig.

    ich hab leider nicht die zeit dein script jetzt auseinander zu pflücken, aber ich werde mal eins von meinen scripten anhängen, möglicherweise wird ja dann einiges klarer.


    Gruß HL
     

    Anhänge:

  7. iriqi

    iriqi Grünschnabel

    Dabei seit:
    24.01.2005
    Beiträge:
    8
    Zustimmungen:
    0
    danke für das script!
    aber es zeigt mir immer einen fehler wenn ich das hier eingebe...

    $ipt -A FORWARD -i $int -o $ext -m state --state NEW -p TCP --sport $p_high -d $ns --dport domain -j ACCEPT

    immer den gleichen fehler "-d" wieso??? kann ich das nich irgendwie hinschreiben ohne "-d" zieladresse?

    oder hier auch!!!
    $ipt -A FORWARD -i $int -o $ext -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT


    das "$p_high" was bedeutet das? kann ich das nicht weglassen irgendwie?

    gruss iriqi 8)
     
  8. #7 NiceDay, 26.01.2005
    NiceDay

    NiceDay Aushilfe

    Dabei seit:
    17.05.2003
    Beiträge:
    1.314
    Zustimmungen:
    0
    Ort:
    Elmshorn
    Alle Wörter mit $ beginnend sind Variablen, die anderer Stelle festegelegt werden/ worden sind.
     
  9. iriqi

    iriqi Grünschnabel

    Dabei seit:
    24.01.2005
    Beiträge:
    8
    Zustimmungen:
    0
    noch eine frage!

    wie speicher ich das script jez ab? und vorallem wo?
    damit es nach jedem start automatisch auch startet!!!

    gruss iriqi
     
  10. #9 NiceDay, 26.01.2005
    NiceDay

    NiceDay Aushilfe

    Dabei seit:
    17.05.2003
    Beiträge:
    1.314
    Zustimmungen:
    0
    Ort:
    Elmshorn
  11. #10 HangLoose, 26.01.2005
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin,

    läuft das script denn jetzt?


    Gruß HL
     
  12. iriqi

    iriqi Grünschnabel

    Dabei seit:
    24.01.2005
    Beiträge:
    8
    Zustimmungen:
    0
    guten morgen...

    also ich danke euch für eure hilfe..

    ja es läuft jez!

    gruss iriqi
     
Thema:

Firewall (iptables)

Die Seite wird geladen...

Firewall (iptables) - Ähnliche Themen

  1. DNS, DNS-Crypt und Firewall

    DNS, DNS-Crypt und Firewall: Hallo! Ich bin gerade wieder an meiner Hardware-Firewall dran und drehe ein paar Hähne enger zu. Da kam mir die Frage mit dem DNS auf. Ich habe...
  2. Firewall Smoothwall Express 3.1 veröffentlicht

    Firewall Smoothwall Express 3.1 veröffentlicht: Die Entwickler der Smoothwall-Gemeinschaft haben ihre freie Firewalldistribution Smoothwall Express in der Version 3.1 veröffentlicht. Smoothwall...
  3. Untangle NG Firewall 11 veröffentlicht

    Untangle NG Firewall 11 veröffentlicht: Das US-amerikanische Unternehmen Untangle hat seine Firewall- und Gateway-Distribution Untangle NG Firewall in der Version 11 veröffentlicht....
  4. Opensuse 13.1 yast Firewall.....

    Opensuse 13.1 yast Firewall.....: Hi Guys, ich versuche gerade mal die Firewall einzurichten mit Masquarading das ich den ganzen internet verkehr von meinem Router WANs Port ans...
  5. Firewall und Virenschutz

    Firewall und Virenschutz: Hallo, eingentlich ist das Thema alt. Wird aber unter Linux meiner Ansicht nach eher weniger behandelt, weil viele der Meinung sind, soetwas...