keine Verbindung nach aussen

Dieses Thema: "keine Verbindung nach aussen" im Forum "Firewalls" wurde erstellt von pep, 21.03.2007.

  1. pep

    pep Grünschnabel

    Dabei seit:
    15.03.2007
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo Leute,

    ich habe nen Problem, an dem ich heute schon 5h saß.

    Und zwar habe ich hier ein Netzwerk mit einer Firewall/Gateway.
    Über die Firewall/Gateway läuft Internet und Telefon.

    Nur leider geht nur das Telefon, und alles, was mit dem 192.168.130.x Netz zu tun hat.

    Alles von eth1 raus geht .
    Eth0 = Internet --> 192.168.1.x Netz
    Eth1 = LAN --> 192.168.0.x Netz

    Wäre nett, wenn ihr euch mal meine IP Tables anschauen könnt.

    Code:
    #!/bin/bash
    
    case "$1" in
      start)
        echo "Starte IP-Paketfilter"
    
    lan_ip="192.168.0.0/24"
    extlan_ip="192.168.130.0/24"
    
        # iptables-Modul
        modprobe ip_tables
        # Connection-Tracking-Module
        modprobe ip_conntrack
        # Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
        modprobe ip_conntrack_irc
        modprobe ip_conntrack_ftp
    
        # Tabelle leeren
        iptables -F
        iptables -t nat -F
        iptables -t mangle -F
        iptables -X
        iptables -t nat -X
        iptables -t mangle -X
    
        # Default-Policies setzen
        iptables -P INPUT DROP
        iptables -P OUTPUT DROP
        iptables -P FORWARD DROP
    
        # chain zur verzweigung von internet in und internet out
        iptables -N transfer
    
        # daten ins Internet, Chain erstellen 
        iptables -N internetout
    
        # daten vom Internet, Chain erstellen
        iptables -N internetin
    
        # MY_REJECT-Chain
        iptables -N MY_REJECT
    
        # MY_REJECT fuellen
        iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
        iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
        iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
        iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
        iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
        iptables -A MY_REJECT -p icmp -j DROP
        iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
        iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
    
        # MY_DROP-Chain
        iptables -N MY_DROP
        iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
        iptables -A MY_DROP -j DROP
    
        # Alle verworfenen Pakete protokollieren
        iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
        iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "
        iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID "
    
        # Korrupte Pakete zurueckweisen
        iptables -A INPUT -m state --state INVALID -j DROP
        iptables -A OUTPUT -m state --state INVALID -j DROP
        iptables -A FORWARD -m state --state INVALID -j DROP
    
        # Stealth Scans etc. DROPpen
        # Keine Flags gesetzt
        iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
    
        # SYN und FIN gesetzt
        iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
    
        # SYN und RST gleichzeitig gesetzt
        iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
    
        # FIN und RST gleichzeitig gesetzt
        iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
    
        # FIN ohne ACK
        iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
    
        # PSH ohne ACK
        iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
    
        # URG ohne ACK
        iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
        iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP
    
        # Loopback-Netzwerk-Kommunikation zulassen
        iptables -A INPUT -i lo -j ACCEPT
        iptables -A OUTPUT -o lo -j ACCEPT
    
        # Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
        iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    
        # Connection-Tracking aktivieren
        iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A FORWARD -i ! ippp0 -m state --state NEW,ESTABLISHED,RELATED -j transfer
        iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j transfer
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
        # SSH
        iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
    
        # LAN-Zugriff auf eth0
        iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT
    
        # Default-Policies mit REJECT
        iptables -A INPUT -j MY_REJECT
        iptables -A OUTPUT -j MY_REJECT
        iptables -A FORWARD -j MY_REJECT
    
        # Routing
        echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
    
        # SYN-Cookies
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
    
        # Stop Source-Routing
        for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
    
        # Stop Redirecting
        for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
    
        # Reverse-Path-Filter
        for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
    
        # Log Martians
        for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done
    
        # BOOTP-Relaying ausschalten
        for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
    
        # Proxy-ARP ausschalten
        for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
    
        # Ungültige ICMP-Antworten ignorieren
        echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
    
        # ICMP Echo-Broadcasts ignorieren
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
    
        # Max. 500/Sekunde (5/Jiffie) senden
        echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
    
        # Speicherallozierung und -timing für IP-De/-Fragmentierung
        echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
        echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
        echo 30 > /proc/sys/net/ipv4/ipfrag_time
    
        # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    
        # Maximal 3 Antworten auf ein TCP-SYN
        echo 3 > /proc/sys/net/ipv4/tcp_retries1
    
        # TCP-Pakete maximal 15x wiederholen
        echo 15 > /proc/sys/net/ipv4/tcp_retries2
    
        # traffic ins und von Netz Stuttgart durchlassen
    
        iptables -A transfer -d $extlan_ip -s $lan_ip -j ACCEPT
        iptables -A transfer -d $lan_ip -s $extlan_ip -j ACCEPT
    
        # restlichen traffic in die Internet Chain leiten
        iptables -A transfer -i eth0 -d 0/0 -s $lan_ip -j internetout
        iptables -A transfer -i eth1 -d $lan_ip -s 0/0 -j internetin
    
        # iptables -A internetout -p icmp --icmp-type echo-request -j ACCEPT
        # iptables -A internetout -p icmp --icmp-type echo-reply -j ACCEPT
        iptables -A internetout -p tcp --dport 21 -j ACCEPT
        iptables -A internetout -p tcp --dport 20 -j ACCEPT
        iptables -A internetout -p tcp --dport 25 -j ACCEPT
        iptables -A internetout -p tcp --dport 23 -j ACCEPT
        iptables -A internetout -p udp --dport 53 -j ACCEPT
        iptables -A internetout -p tcp --dport 80 -j ACCEPT
    iptables -A internetout -p tcp --dport 5900 -j ACCEPT
        iptables -A internetout -p udp --dport 123 -j ACCEPT
    iptables -A internetout -p tcp --dport 137 -j ACCEPT
        
        # iptables -A internetout -m state --state NEW  -p tcp --sport 2083 -j ACCEPT
        iptables -A internetout -p tcp --dport 110 -j ACCEPT
        iptables -A internetout -p udp --dport 123 -j ACCEPT
        iptables -A internetout -p tcp --dport 123 -j ACCEPT
        iptables -A internetout -p tcp --dport 443 -j ACCEPT
        iptables -A internetout -p tcp --dport 3048 -j ACCEPT
        iptables -A internetout -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
    
        iptables -A internetout -j MY_REJECT
    
        iptables -A internetin -p icmp --icmp-type echo-request -j ACCEPT
        iptables -A internetin -p icmp --icmp-type echo-reply -j ACCEPT
        iptables -A internetin -p icmp --icmp-type time-exceeded -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 21 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED,RELATED -p tcp --sport 20 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 23 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 25 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p udp --sport 53 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 110 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p udp --sport 123 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 123 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 443 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 2000 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 3048 -j ACCEPT
        iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 123 -j ACCEPT
    iptables -A internetin -m state --state ESTABLISHED -p tcp --sport 137 -j ACCEPT
        iptables -A internetin -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -A internetin -p tcp --dport 2083 -j ACCEPT
           
        iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
        iptables -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
        iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.14
        iptables -A FORWARD -i eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.14 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
        
        iptables -A internetin -j MY_REJECT
    
    #    iptables -t nat -A POSROUTING -o eth1 -j MASQUERADE
        ;;
    
      stop)
        echo "Stoppe IP-Paketfilter"
        # Tabelle flushen
        iptables -F
        iptables -t nat -F
        iptables -t mangle -F
        iptables -X
        iptables -t nat -X
        iptables -t mangle -X
        echo "Deaktiviere IP-Routing"
        echo 0 > /proc/sys/net/ipv4/ip_forward
    
        # Default-Policies setzen
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT
        ;;
    
      status)
        echo "Tabelle filter"
        iptables -L -vn
        echo "Tabelle nat"
        iptables -t nat -L -vn
        echo "Tabelle mangle"
        iptables -t mangle -L -vn
        ;;
    
      *)
        echo "Fehlerhafter Aufruf"
        echo "Syntax: $0 {start|stop|status}"
        exit 1
        ;;
    
    esac
    
    
    Ps.: wenn ich die Yast Firewall nehme, anstatt das Script, geht zwar das Internet, aber die Verbindung in 192.168.130.x Netz bekomme ich net hin.

    Wäre für Hilfe dankbar
     
Thema:

keine Verbindung nach aussen

Die Seite wird geladen...

keine Verbindung nach aussen - Ähnliche Themen

  1. Virtuellen seriellen Port über Bluetooth einrichten. Keine Verbindung.

    Virtuellen seriellen Port über Bluetooth einrichten. Keine Verbindung.: Hallo zusammen, mein Problem ist ein bisschen spezieller. Ich möchte über eine Bluetooth-Verbindung einen virtuellen seriellen Port einrichten....
  2. Bekomme keine Verbindung auf eine ZyWall 5 HW-FW

    Bekomme keine Verbindung auf eine ZyWall 5 HW-FW: Hallo, habe mir jetzt eine ZyWall 5 zugelegt, bekomme allerdings keine Verbindung zu ihr. Die Standart-IP soll 192.168.1.1 sein. Wenn ich...
  3. Putty>Server kann bekomme keine Verbindung

    Putty>Server kann bekomme keine Verbindung: Hallo Leute, hoffe das ist hier richtig. Ich habe einen ubuntu Server. Mein Problem: Nach einem Update, bekomme ich mit Putty keine...
  4. keine Kabelverbindung unter Ubuntu

    keine Kabelverbindung unter Ubuntu: Hallo Community, seit zwei Tagen kann ich keine Internetverbindung mehr bei meinem HP Laptop aufbauen. Stecke ich das Netzwerkkabel ein,...
  5. XEN - 2 Netzwerkkarten, 2 Bridge, keine Internetverbindung

    XEN - 2 Netzwerkkarten, 2 Bridge, keine Internetverbindung: Hallo, ich hab ein Problem. Habe einen Server mit Debian - Squeeze installiert. In dem Server sind zwei Netzwerkkarten. Eine bekommt die IP über...