iptable: Regeln so ok

Message

Thal · #1 Post by **Thal** » 24. Jan 2006 12:19

Hallo,

wir haben hier ein Debian Rechner der eine feste IP-Adresse hat und von aussen erreichbar ist. Da wir auf diesem Rechner eine Firewall haben wollen, habe ich mich so gut es geht in iptable eingelesen. 100% bin ich mir aber nicht sicher, ob ich es auch wirklich verstanden habe

Was wir möchten:
von aussen erlauben das per ssh sich eingeloggt werden darf, der Webserver erreichbar ist und das anfragen an und von unserem dns-server erlaubt sind.
Hierzu mal mein script:

#! /bin/sh

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 7531 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

Was ich noch nicht hinbekommen habe:
Auf dem Server läuft exim4, da eine Webanwendung emails versenden muß.
Ich hätte nun gerne die firewall so, das emails vom webserver versendet werden darf, anderesrum aber keiner über den server emails versenden kann.
Hat dazu einer eine Idee?

Danke und Gruß
Frank

#2 Post by **Hans Solo** » 24. Jan 2006 16:17

hi

1. würde ich exim so konfigurieren das nur localhost versenden darf.
2. brauchst du glaub ich noch diese regel
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT

bin mir aber nicht sicher (iptables sind nicht so meines *gg*)

mfg
arno

Thal · #3 Post by **Thal** » 25. Jan 2006 10:46

Hallo,

danke dir für die Rückmeldung. Werde ich mal testen.

Frank