Wie kann ich ein Firewall-Script in SuSE 8.2 einbinden?
Es sieht folgendmassen aus:
#/bin/bash
### BEGIN INIT INFO
# Provides: add_services
# Required-Start: $network $remote_fs
# Required-Stop: $network
# X-UnitedLinux-Should-Start: portmap autofs
# Default-Start: 3 5
# Default-Stop: 0 1 2 6
# Description: Starts the firewall and masquerading
### END INIT INFO
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -F FORWARD
iptables -F INPUT
iptables -t nat -A POSTROUTING -p all -s 192.168.0.0/255.255.255.0 -d 1.1.1.1/0.0.0.0 -j MASQUERADE
#iptables -t nat -A PREROUTING -s 1.1.1.1/0.0.0.0 -p tcp --dport 4022 -j DNAT --to 192.168.0.100:22
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Ports schließen
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port ftp -i eth0 -j DROP # Port 21
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port telnet -i eth0 -j DROP # Port 23
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port netbios-ssn -i eth0 -j DROP # Port 139
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port smtp -i eth0 -j DROP # Port 25
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port finger -i eth0 -j DROP # Port 79
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port ident -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port imap -i eth0 -j DROP # Port 143
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 111 -i eth0 -j DROP # sunrpc
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mysql
#iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 2000 -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 1024 -i eth0 -j DROP # kdm
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 1025 -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 513 -i eth0 -j DROP # login
#iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 110 -i eth0 -j DROP # pop3
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 10000 -i eth0 -j DROP # webmin
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 53 -i eth0 -j DROP # named
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 --destination-port 53 -i eth0 -j DROP # named
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mySQL
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mySQL
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port shell -i eth0 -j DROP # shell
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port printer -i eth0 -j DROP # printer
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 5000 -i eth0 -j DROP # UPnP
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 445 -i eth0 -j DROP # MSFT DS
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 443 -i eth0 -j DROP # https
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 135 -i eth0 -j DROP # RPC
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 6001 -i eth0 -j DROP #
Und soll im Verzeichnis /scripts gespeichert werden. Wie kann ich es automatisch starten? Muss ich dann noch weitere
Einstellungen an der SuSEfirewall2 vornehmen oder reicht das dann?
Firewall Skript aktivieren, aber wie?
Re: Firewall Skript aktivieren, aber wie?
Du ermittelst Deinen Runlevel
grep initdefault /etc/inittab
id:3:initdefault:
# runlevel 0 is System halt (Do never use this for initdefault)
# runlevel 6 is System reboot (Do never use this for initdefault)
hier also Runlevel 3, dann
cd /etc/init.d
dorthin kopierst Du das Script
cp /wo/auch/immer/script .
chmod 500 script
Dann gehst Du in das Verzeichnis des Runlevel, hier
cd rc3.d
und suchst die Netzwerkinitialisierung
ls | grep -i network
root@linux:/etc/init.d/rc3.d > ls | grep -i netw
K16network
S05network
jetzt wird noch ein link auf das Script gelegt, so
das es direkt nach der Netzwerkinitialisierung startet:
ln -fs ../script S05script
und viola
Cheers
Michael
grep initdefault /etc/inittab
id:3:initdefault:
# runlevel 0 is System halt (Do never use this for initdefault)
# runlevel 6 is System reboot (Do never use this for initdefault)
hier also Runlevel 3, dann
cd /etc/init.d
dorthin kopierst Du das Script
cp /wo/auch/immer/script .
chmod 500 script
Dann gehst Du in das Verzeichnis des Runlevel, hier
cd rc3.d
und suchst die Netzwerkinitialisierung
ls | grep -i network
root@linux:/etc/init.d/rc3.d > ls | grep -i netw
K16network
S05network
jetzt wird noch ein link auf das Script gelegt, so
das es direkt nach der Netzwerkinitialisierung startet:
ln -fs ../script S05script
und viola
Cheers
Michael
Re: Firewall Skript aktivieren, aber wie?
Super, mit der Erklärung werd ich das garantiert hinbekommen, thx!
Noch eine Frage: Meinst das das Skript dann i.V.m. der Firewall ausreichenden Schutz bietet?
André
Noch eine Frage: Meinst das das Skript dann i.V.m. der Firewall ausreichenden Schutz bietet?
André
Re: Firewall Skript aktivieren, aber wie?
Noch eine Frage *nerv*:
Sieht der letzte Befehl dann so aus:
ln -fs ../script S05script
ln -fs ../mein Verzeichnis S05meinSkript?
Sieht der letzte Befehl dann so aus:
ln -fs ../script S05script
ln -fs ../mein Verzeichnis S05meinSkript?
Re: Firewall Skript aktivieren, aber wie?
"Noch eine Frage: Meinst das das Skript dann i.V.m. der Firewall ausreichenden Schutz bietet?"
nein, du kümmerst dich um portforwarding und schliesst einige ports. die eigentlichen
möglichkeiten nutzt du so nicht. ich will hier nicht versuchen dir zu erklären, wie du ein
sicheres skript erstellst, das sprengt den rahmen und andere können das vorallem besser.
der bericht hier hat mir super geholfen:
http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
bis denn
nein, du kümmerst dich um portforwarding und schliesst einige ports. die eigentlichen
möglichkeiten nutzt du so nicht. ich will hier nicht versuchen dir zu erklären, wie du ein
sicheres skript erstellst, das sprengt den rahmen und andere können das vorallem besser.
der bericht hier hat mir super geholfen:
http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
bis denn