Brauch Hilfe mit IPTABLES!!!!

[SIR_Legwood]

Hallo

Bin gerade dabei mir selbst eine Firewall zu bauen, natürlich mit iptables.
Dazu hab ich das Tutorial von www.boingworld.com (iptables tutorial 1.1.
verwendet und dieses rc.firewall script.
(das kennt hoffentlich der ein o. andere sonst wird das hier ein wenig zu lang)

Hab das Script jetzt soweit umgebaut das es automatisch meine IP-Adresse der ISDN-
Karte übernimmt. usw.

Das geht auch soweit auch NAT.

In firewall bauen bin ich noch blutiger Anfänger (kenn nur das SuSEfirewall2 script)
Ich hab auch noch ein kleines Verständiß problem:

INPUT = ist doch alles was zur firewall kommt also vom Lan -> firewall & Inet -> firewall oder?
OUTPUT = alls was von firewall -> Lan & firwall -> Inet geht ?
FORWARD = weiß ich nicht genau, wird hier alles durchgeleitet vom Inet -> Client u. umgekehrt ?
vielleicht kann mir das jemand noch genauer erklären auch POSTROUTING u. PREROUTING

- wie kann ich mir die nat Regeln auflisten lassen mit iptables -n -L -v seh ich diese nicht
- ich möchte mir einen Transparenten Proxy bauen wie kann ich das am einfachsten realisieren??
(hab damit eigentlich schon ein paar erfahrungen gemacht mit der SuSEfirewall2 u. 7.3 geht
es auch soweit, da seh ich auch logs im squid) aber das ist ja was für Warmduscher
* hab in diesen Script das hier eingefügt bzw. wo genau muß das stehen

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

aber es geht einfach kein REDIRECT seh keine logs im Squid

- so wenn ich diese Zeile bei den INPUT-Part im Script auskomentiere geht gar nichts mehr
(soweit versteh ich das noch es werden alle Ports zugelassen vom Inet)

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

warum geht dann trotzdem kein Ping oder der DNS mehr, wenns weiter oben im Script eigentlich
erlaubt wird.

- wie müssen die Regeln für den Transparenten Proxy aussehen, muß da der 80'er Port offen sein
eigentlich nicht oder, es reicht doch wenn der nur der 3128 und DNS offen ist.

Was will ich erreichen:
- ich möchte die IPTABLES verstehen lernen
- ich möchte kontrollieren können
- kontrolle darüber haben welche Ports offen sind sowhol fürs LAN u. INET

Ich bin für jeden Vorschlag dankbar
Vielleicht habt ihr ein einfachers Script mit dem ich erst mal anfagen sollte, wichtig ist für
mich der Transparente Proxy.

P.S. vielleicht hätt ich erst mehr darüber lesen sollen anstatt gleich voll loszulegen momentan
hab ich einen Overflow die lezten 24std waren hart, deshalb steh ich momentan ein aufm Schlauch

mfg Legwood

[Andreas]

Hi,

INPUT ist alles was generell reinkommt, egal ob vom internet oder LAN
OUTPUT ist alles was rausgeht, egal ob LAN oder INTERNET
FORWARD ist alles was von einer Netzwerkkarte zur anderen durchgeleitet wird ohn einen Dienst o.ä auf dem Rechner zu nutzen

Nat-Tabelle auflisten:

iptables -t nat -L
Da ich auch noch beim lernen bin kann ich Dir ein wirklich gutes Buch empfehlen.

Linux Firewalls Second Edition von Robert L. Ziegler
ISBN 0-7357-1099-6

ist aber ein englisches Buch, dafür aber (meiner Meinung nach) besser erklärt als jedes deutsche was ich in der Hand hatte

Preis ca 65 Eur bei BOL (einziger Anbieter den ich gefunden habe)

dafür ist iptables KOMPLETT erklärt
das schafft kein online-tutorial

Viel Glück
Bis..<img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

[Sucker]

Na du Warmduscher<img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Noch nicht mal Wissen was Forward beduetet und dann so große Sprüche reißen.

[trinity]

@Sucker
Seine Erklärung war richtig (vielleicht etwas eigenwillig und ipchains angehaucht, aber immerhin richtig).
Ganz im Gensatz zu deinem sinnfreien Posting (immerhin, kann man dem entnehmen, dass du gar keine Ahnung hast).

[Sucker]

@Lutscher oder Lutz wie immer du dich nennen willst, die Suse Firewall2 kann man beliebig mit eigenen Regeln erweitern oder umbauen, dafür ist auch extra ein Bereich in dem Script vorgesehen<img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

2.Ipchains ist vielleicht nicht mehr das allerneueste, aber es hat sich bewährt. Im Gegensatz dazu Iptables noch nicht, alle Leute die noch nen produktiven Server absichern setzen fast ausschließlich auf Kernel 2.2.19 mit ipchains.

Außerdem wenn ihr Ahnung hättet, wüsstet ihr, dass man kein Buch zu iptables benötigt, denn es gibt ne Megadoku von linuxdoc org zu Netfilter<img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

[trinity]

@Sucker
>Lutscher oder Lutz wie immer du dich nennen willst
Lutscher würde einem Sucker wie Dir wohl gefallen (Aber, wer lesen kann ist klar im Vorteil).

>die Suse Firewall2 kann man beliebig mit eigenen Regeln erweitern oder umbauen, dafür ist auch extra ein
>Bereich in dem Script vorgesehen
Wahnsinn, man kann ein Script erweitern. Echt toll.

>2.Ipchains ist vielleicht nicht mehr das allerneueste, aber es hat sich bewährt. Im Gegensatz dazu Iptables noch
>nicht, alle Leute die noch nen produktiven Server absichern setzen fast ausschließlich auf Kernel 2.2.19 mit ipchains.
Die aktuelle version ist 2.2.20 und enthält "anscheinend" einige wichtige Security updates. Also falls du noch Kernel 2.2.19 im Einsatz hast, geh updaten (PS: auch 2.0.34 ist nicht mehr aktuell).

Was deine Aussage zu 2.2 vs. 2.4 angeht:
Wo du die Info her hast, dass zum absichern von wichtigen Server(?) fast ausschliesslich Kernel 2.2.19 zum Einsatz kommen ist mir ein Rätsel. Da hab ich schon ganz anderes gehört.
Mir persönlich gefällt die neue Architektur wesentlich besser, als die Alte (die IMHO "krank" war).


>Außerdem wenn ihr Ahnung hättet, wüsstet ihr, dass man kein Buch zu iptables benötigt, denn es gibt ne Megadoku von
>linuxdoc org zu Netfilter
Die Docu ist nicht von linuxdoc.org, sondern vom Programmierer der Netfilter Architektur Rusty Russel. Er war übrigens auch an der ipchains Beteiligt. Sie befindet sich wie gewohnt unter <a href="http://netfilter.samba.org" target="_blank"><!--auto-->http://netfilter.samba.org</a><!--auto-->
Ich habe mir das Buch von Ziegler mal angeschaut, und finde es eigentlich ganz gut. Allerdings schreibt er über ipchains, und das interessiert mich rein gar nicht.

Also ich hab hier noch nichts gelesen, das dich in irgendeiner Weise als qualifiziert für irgendwas hinstellen würde. Deine Info&#180;s sind schlecht bis falsch, und ausgerechnet DU willst über das Wissen anderer hier urteilen. Sehr interessant.

Nun, geh wieder mit 2.2.19 (2.0.34) spielen.

[egal]

Wer ein gutes Buch zum Thema Firewalls mit iptables (SuSE orientiert, aber nicht zu sehr) sucht, der kann ja mal einen Blick auf
"Das Firewall Buch" von Wolfgang Barth, erschienen in SuSE Press ISBN 3-934678-40-8 werfen.
Ein motivierter Admin wird wohl mit der Zeit gehen wollen. Das bedeutet, er wird im Laufe der Zeit sicher auf die nächsten Kernel umsteigen, Schritt für Schritt, sein ganzes Berufsleben lang. Dazu braucht er Erfahrung im Umgang mit den Neuerungen. Dazu muß er experimentieren. Gerade im Bereich der Firewalls kann man leicht zwei Systeme kombinieren. Denkt man nur an die Zonen ohne das böse Militär. Hier läßt sich die innere Brücke schon mal sanft mit der neuen Software ausstatten, oder man setzt einen weiteren Rechner in Reihe für ein zweites Logging dazu. Stück für Stück lassen sich Teilaspekte von einem Rechner auf einen anderen transplantieren. So machen das einige Admins, die ich kenne. Sanft und weich und immer mit doppeltem Boden. Und wenn dann die Berichte im Netz mit den eigenen Erfahrungen übereinstimmen, dann geht man langsam auf das neue System über. Die Kosten für einen normalen Firewallrechner liegen bei ca 1000.-Euro, das kann jede Firma verkraften, ein Fehler beim Übergang kostet oft mehr. Also, Ihr habt irgendwie beide recht, es kommt wohl einfach nur auf die Admins an. Es wird aber jeder Admin im Laufe seiner Zeit mehrmals auf ein neues System umsteigen müssen, die guten wollen das auch meist.

[SIR_Legwood]

So So, Sucker du bist toll

wer hier wohl ein Warmduscher ist du vertraust auf SuSEfirewall2, na dann viel
spaß??
Die kann ja wohl jeder konfigurieren, aber weißt du auch was das Teil genau macht ?
Wie sicher es ist ?
Has du das Script schon mal mit der neuesten iptables und den kernel benutzt ich
schon ? das Ergebnis war leider nicht so toll.

Mit einem eigen Script bin ich wesentlich unabhängiger und versteh was abgeht

Außerdem ist mein Vertrauen zu SuSE ziemlich am Boden was die sich in letzter Zeit
so erlauben.
Siehe 7.1 das war die schlechteste die je hatte, 7.2 u. 7.3 sind ja etwas besser
und sogar da finde ich noch fehler die Eigentlich nicht sein dürften.

Ich hoffe das die 8.0 wider was ordentliches wird sonst werde ich auf Redhat o. Debian
umsteigen.

P.S kenn alle Versionen seit 6.0 aber das ist jetzt nicht mehr das Thema
Will nur eine schnelle kompetente Hilfe und nicht so ein blödel Kramm
wie du ihn schreibtst

mfg Legwood

[trinity]

@egal
Ich wollte nicht bestreiten, dass der 2.2.x Kernel noch als FW zum Einsatz kommt (zumal ich weiss, dass er auch in großen Firmen immer noch als FW eingesetzt wird). Mir ging es eigentlich um das <u>fast_ausnahmslos</u>, und das ist AFAIK nicht richtig.


@SIR_Legwood
Also mit der 7.1 hatte ich kaum Schwierigkeiten (während sich hier im Forum, doch einige Probleme mit der 7.3 auftaten). Ich bin auf jeden Fall auf die 8.0 gespannt. Ich habe zwar erst gestern auf einen meiner Computer die 7.3 installiert habe, und war geschockt über die <font color="#0000ff">bunte</font><!--color--> Distribution.

Haben sich deine Probleme eigentlich geklärt, oder ist noch irgendwas unklar?

[SIR_Legwood]

Ein Teil schon
aber der Transparente Proxy will einfach nicht

mfg Legwood

[trinity]

Was kommt denn für eine Fehlermeldung?

[pizdez]

Leute nutzt fwbuilder (www.fwbuilder.org). Es ist gut, sauber und bringt schnell das benötigte Ergebniss. Es funktioniert auch mit iptables/ipchains/ipfilter