wie müssen folgende zeilen korrekt lauten, wenn ein lan-client (192.168.2.100) auf einen http-server (z.b. 213.165.65.100) zugreifen will???
EXTERNES_INTERFACE="ppp0" --> oder EXTERNES_INTERFACE="eth1" # das mit dem Internet verbundene Interface
LOOPBACK_INTERFACE="lo" # das Loopback-Interface
LOKALES_INTERFACE="eth0" # das mit dem LAN verbundene Interface
IPADR="192.168.2.0/24" # eine registrierte, mir bekannte IP-Adresse, hier bin ich mir unsicher
LOKALES_NETZ="192.168.2.0/24" # IP-Bereich des LAN, --> die sollen fast alles dürfen
UNPRIVPORTS="1024:65535"
wenn dies die aufgestellte regel ist:
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $IP_ADR $UNPRIVPORTS --destination-port 80 -j ACCEPT
ipchains -A input -i $EXTERNES_INTERFACE -p tcp ! -y --source-port 80 -d $IPADR $UNPRIVPORTS -j ACCEPT
an welches interface muss ich die regel binden?
wie muss die in der variablen $IPADR gesetzte ip-adresse lauten? doch eigentlich die vom provider zugewiesene, oder?
da ich aber nat betreibe, dann doch wieder die von der externen netzwerkkarte (die zum dsl-modem geht, also $EXTERNES_INTERFACE)
ich komme echt nicht mehr weiter....
mfg, müsli
nochmal zu interfaces und ip-adressen im regelskript
-
Helge
Re: nochmal zu interfaces und ip-adressen im regelskript
re muesli hier die kurze antwort !
deins:
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $IP_ADR $UNPRIVPORTS --destination-port 80 -j ACCEPT
ipchains -A input -i $EXTERNES_INTERFACE -p tcp ! -y --source-port 80 -d $IPADR $UNPRIVPORTS -j ACCEPT
erlaube ausgehende verbindungen vom server ins internet port 80
$EXTERNES_INTERFACE="ppp0"
$WOLDIP="0.0.0.0"
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $WOLDIP $UNPRIVPORTS -d $WOLDIP 80 -j ACCEPT
ipchains -A output -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
Hier mit erlaubst du von deinem server ausgehendes tcp auf port 80 und eingehende pakete von port 80
wenn sie zuvor angefordert worden sind !
Falls was unklar ist dann ruf mich an !
PS du bindest die regeln auf das interface drum auch worldip="0.0.0.0" ! ;=)
deins:
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $IP_ADR $UNPRIVPORTS --destination-port 80 -j ACCEPT
ipchains -A input -i $EXTERNES_INTERFACE -p tcp ! -y --source-port 80 -d $IPADR $UNPRIVPORTS -j ACCEPT
erlaube ausgehende verbindungen vom server ins internet port 80
$EXTERNES_INTERFACE="ppp0"
$WOLDIP="0.0.0.0"
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $WOLDIP $UNPRIVPORTS -d $WOLDIP 80 -j ACCEPT
ipchains -A output -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
Hier mit erlaubst du von deinem server ausgehendes tcp auf port 80 und eingehende pakete von port 80
wenn sie zuvor angefordert worden sind !
Falls was unklar ist dann ruf mich an !
PS du bindest die regeln auf das interface drum auch worldip="0.0.0.0" ! ;=)
-
Müsli
Re: nochmal zu interfaces und ip-adressen im regelskript
hi helge,
2 dinge:
1.
SuSE stellt OpenExchange-Server vor
Einen neuen E-Mail- und Groupware-Server auf Linux-Basis hat SuSE für
die nahe Zukunft angekündigt.
URL der Nachricht: http://www.pro-linux.de/news/2002/4806.html
Einsender: hjb
2.
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $WOLDIP $UNPRIVPORTS -d $WOLDIP 80 -j ACCEPT
erlaubt http-requests nach draussen (--> output-chain)
ipchains -A output -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
soll doch antworten von httpservern an mich zulassen?!
--> dann muss aber die regel in die input-chain, oder????
also:
ipchains -A input -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
danke erstmal, werde es probieren!!!
2 dinge:
1.
SuSE stellt OpenExchange-Server vor
Einen neuen E-Mail- und Groupware-Server auf Linux-Basis hat SuSE für
die nahe Zukunft angekündigt.
URL der Nachricht: http://www.pro-linux.de/news/2002/4806.html
Einsender: hjb
2.
ipchains -A output -i $EXTERNES_INTERFACE -p tcp -s $WOLDIP $UNPRIVPORTS -d $WOLDIP 80 -j ACCEPT
erlaubt http-requests nach draussen (--> output-chain)
ipchains -A output -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
soll doch antworten von httpservern an mich zulassen?!
--> dann muss aber die regel in die input-chain, oder????
also:
ipchains -A input -i $EXTERNES_INTERFACE -p tcp ! -y -d $WOLDIP $UNPRIVPORTS -s $WOLDIP 80 -j ACCEPT
danke erstmal, werde es probieren!!!