PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall-Skript jetzt keine updates mehr



Subchannel
13.09.2008, 20:28
So habe jetzt für mein Debian Server die iptables eingerichtet seit dem kann ich keine updates mehr holen....Habe ich da was übersehen?


#!/bin/sh
echo "Initialisiere Firewall ..."
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -Z
iptables -N MYDDROP
iptables -N MYACCEPT
#
# Lokale Kommunikation
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
# Statefull Inspection
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j MYDDROP
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
#
# Eigene Chains und Logging
iptables -A MYDDROP -j LOG --log-level 3 --log-prefix "FW-DROP: "
iptables -A MYDDROP -j DROP
iptables -A MYACCEPT -j LOG --log-prefix "FW-ACCEPT: "
iptables -A MYACCEPT -j ACCEPT
#
# SSH Server
#
iptables -A INPUT -p tcp --dport 44 -s 192.168.0.0/24 -j MYACCEPT
#
# ICMP
#
iptables -A INPUT -p icmp -s 192.168.0.0/24 -j MYACCEPT
iptables -A OUTPUT -p icmp -d 192.168.0.0/24 -j MYACCEPT
#
# SAMBA
#
iptables -A INPUT -p udp -m multiport --destination-port 137,138 -s 192.168.0.0/24 -j MYACCEPT
iptables -A INPUT -p tcp -m multiport --destination-port 139,445 -s 192.168.0.0/24 -j MYACCEPT
iptables -A OUTPUT -p udp -m multiport --destination-port 137,138 -d 192.168.0.0/24 -j MYACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 139,445 -d 192.168.0.0/24 -j MYACCEPT
#
# DHCP-CLIENT
iptables -A OUTPUT -p udp --dport 68 -j MYACCEPT
#
# Browser
iptables -A OUTPUT -p tcp --dport 80 -j MYACCEPT
#
echo "Firewall ist konfiguriert und aktiv"

bitmuncher
13.09.2008, 20:52
Du unterbindest den ausgehenden Traffic.


iptables -P OUTPUT DROP

Zulassen tust du ihn nur für bestimmte Ports, die von bestimmten Anwendungen belegt sind. Damit kann natürlich kein Update mehr gezogen werden, da der Client keinen Port hat, den er nutzen kann. Die Ports für die Client-Verbindungen werden üblicherweise auch dynamisch zugewiesen. Du wirst also OUTPUT auf ACCEPT setzen müssen.

Subchannel
13.09.2008, 21:08
Ah ok dankeschön, habe ich übersehen...Häng auch schon den ganzen Tag vor der Konsole xD Ich dachte ich kan explizit nur die Ports für die Kommunikation mit dem Upate-Server zulassen, weiß aber nicht welche das sind....20 und 21 habe ich schon probiert hat aber net gefunzt. Ich danke dir!