FIREWALL

[ROLUX]

Tach zusammen,

folgende FW will ich auf einem Router unter SuSE 8.2 einrichten;

------------- schnipp -----------------

# Module laden
/sbin/modprobe iptables
/sbin/modprobe ip_contrack
/sbin/modprobe ip_contrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_forward
/sbin/modprobe ip_nat_ftp

# Zunächst alles löschen
iptables -F

# Grundregeln
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# loopback
iptables -A INPUT .i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Network File System (Mounting of NFS-Shares possible)
iptables -A INPUT -i eth1 -s 172.16.200.13 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth1 -s 172.16.200.13 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth1 -s 172.16.200.13 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 172.16.200.13 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 172.16.200.13 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth1 -d 172.16.200.13 -p tcp --sport 1011 ---dport 900: -j ACCEPT

# Internet
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT

# Forwarding
iptables -A FORWARD -o ppp+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp+ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.200.14 -o ppp+ -j MASQUERADE

------------------ schnapp ----------------------

Das wird meine Eingabe auf der Konsole (ohne die # blabla). Wie speichere ich das permanent, damit diese Einstellungen nicht nach dem shutdown verloren sind. Kurzum, wie veranlasse ich die SuSE, die IPTABLES bei jedem Start in dieser Konfiguration zu starten?
Wenn mir da jemand auf die Sprünge helfen könnte ... Ich würde ein Bier auf ihn trinken <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Gruß,
Rolf

[ratte]

mannomann, machst du dir ja ne arbeit <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> da ist klar, dass du bierdurst bekommst...

hast du dir schon einen Lieblingseditor ausgesucht? Dann kopier dir mal deine Regeln darein und speicher das unter einen dir angenehmen Dateinamen, z. B. fw-up.sh

dann werf noch ein `chmod +x fw-up.sh` darauf (siehe man chmod), um es ausfuehrbar zu machen.

und schon kannst du es mit `/pfad/zu/fw-up.sh` ausfuehren.

wo die susi ihre Startscripte hat? dunno, irgendwo in /etc/init.d oder /etc/rc.d/???

da gugge mal in die Doku.

BTW: code habe ich nicht getestet...

ratte

[ROLUX]

Dank Dir, ratte,

ich benutze den vi und die scripts liegen in /etc/init.d/dateiname



Schaun mer mal und Gsuffa,
Rolf

[joersch]

nicht vergessen, in die entsprechenden runlevels die links zu legen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
bei susi RL 3 und 5 empfehlenswert.

[ROLUX]

Au ja, da hätte ich nicht dran gedacht.
Nur: Wie mache ich das? GUI hab ich ja keine; geht nicht mit dem 9"-Monitor.
Muß -und will- ich auf der Konsole machen. Nur eben: WIE ??

Gruß,
Rolf

[Torsten]

legen von SymLinks zum Starten eines Scriptes im RunLevel 3 und 5, das in /etc/init.d/ liegt, mit der Prio 20 (recht hohe Prio, wenn das Script sehr spät gestartet werden soll, eine höhere Zahl benutzen)

cd /etc/init.d/
ln -s ../dateiname rc3.d/S20dateiname
ln -s ../dateiname rc5.d/S20dateiname

[ROLUX]

Danke, ratte,

da ist glatt 'ne Halbe auf Dein Wohl fällig <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)
Das ist das erste Skript das ich erstelle; langsam lern' ich linuxen.

Nochmals Danke,
Rolf

[ROLUX]

Hallo ratte,

das hätte ich fast vergessen: Kann die SuSEconfig das nicht alles beim Start des Systems überschreiben? Hat's ja alles schon gegeben <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Mann, das wär der Brüller des Monats <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Sorry, wenn ich Dir so auf den Wecker gehe, aber ohne Hilfe fahr ich das Ding wohl wieder vor die Wand. Aber diesmal dokumentiere ich alles, was funktioniert; hab ich Dumpfbacke vorher nie getan. Nur so 'ne Zettelwirtschaft. Jetzt geht alles in 'ne Volltextdatenbank <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">


Gruß vom Niederrhein,
Rolf

[ROLUX]

Tach zusammen,

die Firewall läuft, ein paar Kommandos waren anders, aber es funktioniert einwandfrei.

DANKE an alle, die mir geholfen haben,
Rolf