Firewall Skript aktivieren, aber wie?

[xKeek]

Wie kann ich ein Firewall-Script in SuSE 8.2 einbinden?

Es sieht folgendmassen aus:

#/bin/bash
### BEGIN INIT INFO
# Provides: add_services
# Required-Start: $network $remote_fs
# Required-Stop: $network
# X-UnitedLinux-Should-Start: portmap autofs
# Default-Start: 3 5
# Default-Stop: 0 1 2 6
# Description: Starts the firewall and masquerading
### END INIT INFO



echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -F FORWARD
iptables -F INPUT


iptables -t nat -A POSTROUTING -p all -s 192.168.0.0/255.255.255.0 -d 1.1.1.1/0.0.0.0 -j MASQUERADE
#iptables -t nat -A PREROUTING -s 1.1.1.1/0.0.0.0 -p tcp --dport 4022 -j DNAT --to 192.168.0.100:22



iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Ports schließen
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port ftp -i eth0 -j DROP # Port 21
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port telnet -i eth0 -j DROP # Port 23
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port netbios-ssn -i eth0 -j DROP # Port 139
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port smtp -i eth0 -j DROP # Port 25
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port finger -i eth0 -j DROP # Port 79
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port ident -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port imap -i eth0 -j DROP # Port 143
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 111 -i eth0 -j DROP # sunrpc
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mysql
#iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 2000 -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 1024 -i eth0 -j DROP # kdm
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 1025 -i eth0 -j DROP #
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 513 -i eth0 -j DROP # login
#iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 110 -i eth0 -j DROP # pop3
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 10000 -i eth0 -j DROP # webmin
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 53 -i eth0 -j DROP # named
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 --destination-port 53 -i eth0 -j DROP # named
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mySQL
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 --destination-port 3306 -i eth0 -j DROP # mySQL
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port shell -i eth0 -j DROP # shell
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port printer -i eth0 -j DROP # printer
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 5000 -i eth0 -j DROP # UPnP
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 445 -i eth0 -j DROP # MSFT DS
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 443 -i eth0 -j DROP # https
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 135 -i eth0 -j DROP # RPC
iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --destination-port 6001 -i eth0 -j DROP #


Und soll im Verzeichnis /scripts gespeichert werden. Wie kann ich es automatisch starten? Muss ich dann noch weitere
Einstellungen an der SuSEfirewall2 vornehmen oder reicht das dann?

[Michael]

Du ermittelst Deinen Runlevel

grep initdefault /etc/inittab

id:3:initdefault:
# runlevel 0 is System halt (Do never use this for initdefault)
# runlevel 6 is System reboot (Do never use this for initdefault)

hier also Runlevel 3, dann

cd /etc/init.d

dorthin kopierst Du das Script

cp /wo/auch/immer/script .
chmod 500 script

Dann gehst Du in das Verzeichnis des Runlevel, hier

cd rc3.d

und suchst die Netzwerkinitialisierung

ls | grep -i network

root@linux:/etc/init.d/rc3.d > ls | grep -i netw
K16network
S05network

jetzt wird noch ein link auf das Script gelegt, so
das es direkt nach der Netzwerkinitialisierung startet:

ln -fs ../script S05script

und viola

Cheers

Michael

[xKeek]

Super, mit der Erklärung werd ich das garantiert hinbekommen, thx!

Noch eine Frage: Meinst das das Skript dann i.V.m. der Firewall ausreichenden Schutz bietet?

André

[xKeek]

Noch eine Frage *nerv*:

Sieht der letzte Befehl dann so aus:

ln -fs ../script S05script

ln -fs ../mein Verzeichnis S05meinSkript?

[sieb]

"Noch eine Frage: Meinst das das Skript dann i.V.m. der Firewall ausreichenden Schutz bietet?"

nein, du kümmerst dich um portforwarding und schliesst einige ports. die eigentlichen
möglichkeiten nutzt du so nicht. ich will hier nicht versuchen dir zu erklären, wie du ein
sicheres skript erstellst, das sprengt den rahmen und andere können das vorallem besser.
der bericht hier hat mir super geholfen:

http://www.linux-user.de/ausgabe/2002/0 ... all-4.html

bis denn