Z
zander
Grünschnabel
Hallo zusammen,
ich habe meine neue FritzBox mit iptables aufgerüstet und würde nun gerne mit folgendem Script:
folgendes erreichen, was teilweise geht, aber bestimmt noch fehlerbehaftet oder verbesserungswürdig wäre:
1) VOIP geht damit. Sind aber häßlich viele Ports offen. Außerdem geht keine VOIP Verbindung vom via DECT angemeldeten Telefon an ein per IP angemeldetes Telefon. Besser gesagt, die Verbindung geht, aber leider nur in eine Richtung. Die andere ist stumm.
2) Meine Freigabe des Rechners 192.168.2.10 geht irgendwie überhaupt nicht.
3) Und zu guter Letzt. Wie kann ich die Firewall noch verbessern. D.h. Abwehr von Brute-Force Angriffen und/oder alles so sicher wie möglich machen
Danke schon mal für jegliche Hilfe!
Viele Grüße
Jo
ich habe meine neue FritzBox mit iptables aufgerüstet und würde nun gerne mit folgendem Script:
Code:
#!/bin/sh
# # # FIREWALL RULES
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# loopback device oeffnen
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
iptables -t nat -A PREROUTING -i dsl -p tcp --dport 443 -j DNAT --to-destination 192.168.2.10
iptables -A FORWARD -i dsl -m state --state NEW -p tcp -d 192.168.2.10 --dport 443 -j ACCEPT
# Benutze Source NAT (SNAT) fuer die aktuelle Verbindung in das LAN
iptables -t nat -A POSTROUTING -o lan -p tcp --dport 443 -j SNAT --to-source 192.168.2.254
#iptables -t nat -A POSTROUTING -j MASQUERADE -o dsl
# allow voip
SIPPORT="5004 5005 5006 5007 5008 5009 5060 5061 5062 5063 5064 5065 5066 5067 5068 5069 7077 7078 7079 7080 7081 70
for pt in $SIPPORT; do
iptables -A FORWARD -s 127.0.0.1 -p udp --dport $pt -j ACCEPT
iptables -A FORWARD -s 192.168.2.254 -p udp --dport $pt -j ACCEPT
done
iptables -A FORWARD -i 127.0.0.1 -o dsl -j ACCEPT
iptables -A FORWARD -i 192.168.2.0/24 -o dsl -j ACCEPT
# Ausgehende Regeln für Internet Surfen:
iptables -N TRANS
iptables -A TRANS -p tcp -s 192.168.2.0/24 -m multiport --dport 20,21,22,25,80,81,82,83,110,443,465,993,995,5060 -j
iptables -A TRANS -p udp -s 192.168.2.0/24 -m multiport --dport 53,67,68,80,123,5060:5069,5004:5009,7077:7097,10000
iptables -A TRANS -p icmp -s 192.168.2.0/24 -j ACCEPT
# conntrack für eingehende Antwortpakete:
iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
# ... Eigene Regeln für bekannte hosts
# ...
iptables -A TRANS -j LOG --log-prefix "[IPT] DENY-LAN-ACCESS " # abgewiesene Pakete Loggen
iptables -A TRANS -j DROP # PARANOIA LINK
# # # Rules for Fritz Device
iptables -A INPUT -p udp -s 0.0.0.0 -d 255.255.255.255 --sport 68 --dport 67 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # LOCALHOST
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT # LAN
iptables -A INPUT -s 169.254.0.0/16 -i lan -j ACCEPT # EMERGENCY LAN
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 5060 -j ACCEPT # VoIP
for pt in $SIPPORT; do
iptables -A INPUT -p udp --dport $pt -j ACCEPT
done
iptables -A INPUT -p udp --dport 5060 -j ACCEPT # VoIP
iptables -A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS " # Log other traffic
iptables -A INPUT -j DROP # PARANOIA IN
iptables -P INPUT DROP # Default policy DROP
iptables -A OUTPUT -d 192.168.2.0/24 -j ACCEPT # Allow LAN
iptables -A OUTPUT -d 224.0.0.1/24 -j ACCEPT # UPnP
iptables -A OUTPUT -d 239.255.255.250 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT # Local Host
iptables -A OUTPUT -p udp -m multiport --dport 53,123,5060:5069,7077:7097,10000 -j ACCEPT # DNS, TIME, VoIP
iptables -A OUTPUT -p tcp --dport 5060 -j ACCEPT # VoIP
iptables -A OUTPUT -p udp -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 443 -d dyndns.strato.com -j ACCEPT # DynDNS
iptables -A OUTPUT -d post.strato.de -j ACCEPT # e-Mail OUT
iptables -A OUTPUT -d mail.gmx.net -j ACCEPT # e-Mail OUT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # stateful conntrack
iptables -A OUTPUT -d 212.42.244.73 -p tcp --dport 80 -j ACCEPT # Plugins Server AVM
iptables -A OUTPUT -d www.dasoertliche.de -p tcp --dport 80 -j ACCEPT # Für Telefonbuch Abfrage durch die Box
iptables -A OUTPUT -d www.dastelefonbuch.de -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.goyellow.de -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.11880.com -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.google.de -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.das-telefonbuch.at -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.search.ch -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d www.anywho.com -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "[IPT] WARNING-CALL-HOME " # Nicht Erlaubten ausgehenden Traffic Loggen
iptables -P OUTPUT DROP # und Sperren
# # # Rules for FORWARD
#Endgerät freischalten P
iptables -P FORWARD DROP
iptables -A FORWARD -j TRANS # Regeln für LAN - WAN Verkehr
iptables -A FORWARD -j LOG --log-prefix "[IPT] DENY-FWD-ACCESS "
folgendes erreichen, was teilweise geht, aber bestimmt noch fehlerbehaftet oder verbesserungswürdig wäre:
1) VOIP geht damit. Sind aber häßlich viele Ports offen. Außerdem geht keine VOIP Verbindung vom via DECT angemeldeten Telefon an ein per IP angemeldetes Telefon. Besser gesagt, die Verbindung geht, aber leider nur in eine Richtung. Die andere ist stumm.
2) Meine Freigabe des Rechners 192.168.2.10 geht irgendwie überhaupt nicht.
3) Und zu guter Letzt. Wie kann ich die Firewall noch verbessern. D.h. Abwehr von Brute-Force Angriffen und/oder alles so sicher wie möglich machen
Danke schon mal für jegliche Hilfe!
Viele Grüße
Jo