Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
brauche Hilfe bei meinem Iptables script:-/

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
simon_23
Gast





BeitragVerfasst am: 13. Okt 2004 23:03   Titel: brauche Hilfe bei meinem Iptables script:-/

Hallo, ich habe mir vor kurzem den Artikel "Firewall selbst entwickeln" von HJB durchgelesen und da ich auch dabei bin mir einen Paketfilter zurechtzuschustern habe ich mir gedacht ich probiere einfach mal aus was HJB da bescheibt!
Ein wenig Programmierkenntnisse habe ich auch - alölerdings nicht mit shellscripten sondern eher mit Java :-/

Ich habe die Iptables regeln ein wenig an meine gegebenheiten angepasst, also kein weiterleiten von paketen, und das Interface von ippp0 auf ppp0 gesetzt (Da ich grad ein Modem benutze.).

wenn ich den Paketfilter starte bekomme ich immer folgende Meldung :
____
Starting IP Filtering...Warning:weird character in interface'{INTERFACE}' (No aliases, :m ! or *).
Warning weird character in interface '{INTERFACE}' (No aliases, :m ! or *).
done.
___

Klar, ich dachte mir da ist wohl irgendwas mit dem Interface.....nur als ich nichts gefunden habe habe ich mich schon gefragt was es denn sein kann Smile

Warscheinlich nen newbie Fehler, wär wirklcih nett wenn Ihr mir einen Wink mit dem Zaunpfahl geben könntet Smile

Hier noch mein Script (Ich habe wie HJB auch 2 Scripte erstellt - hier das mit den iptables Regeln)

vielen Dank schonmal im Vorraus

_______________ipfilter_util_______________________

INTERFACE="ppp0"
IPTABLES="/sbin/iptables"



Stop()
{
Flush ACCEPT
}

Close()
{
Flush DROP
}


Flush()
{
${IPTABLES} -P INPUT $1
${IPTABLES} -P OUTPUT $1
${IPTABLES} -F
${IPTABLES} -F INPUT
${IPTABLES} -F OUTPUT
${IPTABLES} -X destroy > /dev/null 2>&1
${IPTABLES} -X in_private > /dev/null 2>&1
${IPTABLES} -X out_private > /dev/null 2>&1

}

Start()
{
Close
CreateBucket
EgressFilter

InOutTCP 22 # SSH
OutTCP http 80 https 8080
OutTCP ftp smtp pop3
OutFTP

#Firewall ICMP . ICMP is useful so allow any by defult
${IPTABLES} -A INPUT -j ACCEPT -p icmp
${IPTABLES} -A OUTPUT -j ACCEPT -p icmp

${IPTABLES} -A INPUT -j destroy
${IPTABLES} -A OUTPUT -j destroy
}

CreateBucket()
{
${IPTABLES} -N destroy

#These rules are only for logging.
${IPTABLES} -A destroy -j LOG --log-level notice -m limit
${IPTABLES} -A destroy -j DROP
}

EgressFilter()
{
#Dont let private addresses in
${IPTABLES} -N in_private
${IPTABLES} -F in_private
${IPTABLES} -A in_private -j destroy -s 127.0.0.0/8
${IPTABLES} -A in_private -j destroy -s 10.0.0.0/8
${IPTABLES} -A in_private -j destroy -s 172.16.0.0/12
${IPTABLES} -A in_private -j destroy -s 192.168.0.0/16
${IPTABLES} -A in_private -j destroy -s 224.0.0.0/4
${IPTABLES} -A in_private -j destroy -s 240.0.0.0/4

#dont let private addresses escape
#Also darf der Server keine Pakete an die folgenden Adressen senden
#weil sie ja im Internet nicht existieren dürfen und der Server somit
#mit gefälschten adressen kommuniziert !?

${IPTABLES} -N out_private
${IPTABLES} -F out_private
${IPTABLES} -A out_private -j destroy -d 127.0.0.0/8
${IPTABLES} -A out_private -j destroy -d 10.0.0.0/8
${IPTABLES} -A out_private -j destroy -d 172.16.0.0/12
${IPTABLES} -A out_private -j destroy -d 192.168.0.0/16
${IPTABLES} -A out_private -j destroy -d 224.0.0.0/4
${IPTABLES} -A out_private -j destroy -d 240.0.0.0/4

#Alle Pakete der INPUT und OUTPUT Chains werden erfasst
${IPTABLES} -A INPUT -j in_private -i {INTERFACE}
${IPTABLES} -A OUTPUT -j out_private -o {INTERFACE}
}

InOutTCP()
{
InTCP $*
OutTCP $*
}

InTCP()
{
for i in $*
do
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp --dport $i -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp --sport $i -m state --state ESTABLISHED,RELATED
done
}


OutTCP()
{
for i in $*
do
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp --sport 1024: --dport $i -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp --sport $i -m state --state ESTABLISHED,RELATED
done
}

OutFTP()
{
InOutTCP ftp-data
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp --sport ftp-data -m state --state NEW,ESTABLISHED,RELATED
}

_______________________________________
 

simon_23
Gast





BeitragVerfasst am: 13. Okt 2004 23:06   Titel: dachte ich hätte die url mitgepostet :-(

Also, HJB's Anleitung habe ich von hier:

http://www.pl-berichte.de/t_netzwerk/print/firewall-eigenbau.html

simon_23
 

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 14. Okt 2004 7:18   Titel:

hi

wenn ich das richtig sehe fehlen in diesem absatzt

#Alle Pakete der INPUT und OUTPUT Chains werden erfasst
${IPTABLES} -A INPUT -j in_private -i {INTERFACE}
${IPTABLES} -A OUTPUT -j out_private -o {INTERFACE}


die Dollar ($) vor dem {INTERFACE}

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

simon_23
Gast





BeitragVerfasst am: 14. Okt 2004 11:43   Titel: oh ja!

ich hab wohl den wald vor lauter bäumen nicht gesehen Smile

'viele Grüße simon_23
 

simon_23
Gast





BeitragVerfasst am: 18. Okt 2004 19:06   Titel: kann keine Verbindungen aufbauen :-(

Hallo kann mir noch jemand sagen warum ich jetzt keine Verbindungen aufbauen kann?

eine bereits bestandene ssh Verbindung lief ohne Probleme weiter! Nur im www surfen konnte ich nicht mehr!

wäre echt cool wenn mir noch jemand einen Tipp geben könnte!

simon_23
 

Hans2
Gast





BeitragVerfasst am: 19. Okt 2004 7:10   Titel:

hi

weill du masquerading nicht eingeschaltet hast

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.2.0/24 -j MASQUERADE

ip anpassen dann müsste es funktionieren


mfg
arno
 

simon_23
Gast





BeitragVerfasst am: 19. Okt 2004 12:47   Titel: masquerading bei workstation?

Hi, ich dachte ich brauche masquerading nur wenn ich einen Router / Gateway mit paketfilter betreibe!?

Ich sitze aber (lokal) direkt vor meiner workstation Smile

und es haperte ja auch nur beim www (glaube ich),
ssh klappte ja weiterhin!

werde das mal ausprobieren
bis später simon_23
 

Hans2
Gast





BeitragVerfasst am: 19. Okt 2004 16:47   Titel:

hi

von welcher richtung aus funktioniert den das ssh?
von aussen rein oder von innen raus?

mfg
 

simon_23
Gast





BeitragVerfasst am: 20. Okt 2004 15:08   Titel: das ssh...

...funktioniert wenn ich perr ssh auf einen Server zugreife - also von innen herraus.

simon_23
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy