Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Firewall(iptables)

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Firewall(iptables)
Gast





BeitragVerfasst am: 26. Jan 2005 8:27   Titel: Firewall(iptables)

hallo leute,

hab da mal eine kleine frage!

könnte mir jemand helfen, ich habe schwierigkeiten mit meiner firewall....

ich hab da mal ein iptables script erstellt, das folgende kriterien erfüllen sollte...

von innen nach aussen alles verboten ausser: http, https, nntp, smtp, dns, pop3
und von aussen nache innen ist alles verboten.
der ganze unerlaubte verkehr soll geloggt werden.

und die firewall sollte bei jedem start automatisch auch starten!
könnte mir da jemand helfen, denn es läuft nicht so wie es sollte!!!

*****************************************script******************************************
iptables -Z
iptables -X
iptables -F

echo 1 >> /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP

iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT #HTTP
iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT #HTTP

iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT #SMTP
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT #DNS
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT #DNS
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT #POP3
iptables -A OUTPUT -p tcp --sport 1024: --dport 119 -j ACCEPT #NNTP
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT #HTTPS

iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

iptables -A INPUT -j DROP
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -j DROP

iptables -A FORWARD -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #abgehende pakete
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #ankommende pakete

iptables -A FORWARD -j LOG

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

*****************************************script ende*****************************************

gruss iriqi
 

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 26. Jan 2005 19:22   Titel: Was.....

....geht denn nicht?
Ich habe mal kurz drüber geguckt.
Du schmeisst erst alle Pakte weg die rein wollen und dann die Verbindungsverwandten. Dreh mal die beiden Blöcke um, sonst hast Du keine Pakete mehr die reinkommen könnten.....oder??

Code:

iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

iptables -A FORWARD -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #abgehende pakete
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #ankommende pakete

iptables -A INPUT -j DROP
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -j DROP
 

_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 27. Jan 2005 8:47   Titel:

etwas mehr informationen was denn nicht läuft wie es soll wären nicht
schlecht
-- in meiner Glaskugel schneit es gerade

ich bin zwar kein iptables crack

aber muss man nicht den netzwerkverkehr für das loopback device auch erlauben?

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 28. Jan 2005 11:42   Titel: Script

Hier mal ein allgemein gültiges Script:
Nehme gerne Verbesserungsvorschläge an.

Code:

#! /bin/bash
###################### Variablen setzen

IIF=eth0       # interne Interface
EIF=eth1     # externe Interface
highPorts=1024:65535
clientFuer="http https pop3 nntp dns smtp # was muss durch
prox_prot="tcp udp"  # benutzte Protokolle
TNET=10.140.80.0/24      # Trusted Net
ENET=0/0                 # Enemy Net


###################### Prüfung (und ggf. nachladen), ob die notwendigen Module ###################### geladen sind
modprobe ip_tables
modprobe ip_conntrack

###################### Abfrage der Eingabe
case $1 in


start)
   echo "Starte Firewall"

##################Loopback öffnen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT   
   
   
################## Alles, was nicht erlaubt ist, ist verboten
   iptables -P INPUT   DROP
   iptables -P FORWARD   DROP
   iptables -P OUTPUT   DROP


##################  Alle anderen (alte) Regeln löschen
   iptables -F
   

################## Regeln############################
#####################################################

################# stat. Regel

################# bestimmte ICMP durchlassen
   iptables -A INPUT -p icmp --icmp-type 3 -i $IIF -j ACCEPT
   

############# Ports öffnen für die  Client #
        for p in $clientFuer
        do
              for a in $prox_prot
           do
              if [ $a = "tcp" ]; then
                 SYN='! --syn'
                      else
                 SYN=''
              fi

        iptables -A OUTPUT -p $a --sport $highPorts -d 0/0 --dport $p -o $IIF -j ACCEPT
      iptables -A INPUT  -p $a --sport $p -s 0/0 --dport $highPorts -i $IIF $SYN -j ACCEPT
          done
           done
   
################# dyn. Regeln
   iptables -N filter
   iptables -A filter -m state --state NEW -o $IIF -j ACCEPT
   iptables -A filter -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A filter -j LOG
   iptables -A filter -j DROP
   
   iptables -A INPUT -j filter
   iptables -A FORWARD -j filter
   iptables -A OUTPUT -j filter
   
################## Routing an
   echo 1 > /proc/sys/net/ipv4/ip_forward                 
   
;;
stop)
   echo "Stoppe Firewall"
   iptables -P INPUT   ACCEPT
   iptables -P FORWARD   ACCEPT
   iptables -P OUTPUT   ACCEPT
   iptables -F
################ Routing aus
   echo 0 > /proc/sys/net/ipv4/ip_forward   
   
;;
*)
   echo "Falsche Eingabe, bitte mit $0 [start|stop]"


;;
esac

_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy