Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 21. Nov 2018 20:47

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: iptable: Regeln so ok
BeitragVerfasst: 24. Jan 2006 12:19 
Offline

Registriert: 13. Jan 2006 8:18
Beiträge: 4
Hallo,

wir haben hier ein Debian Rechner der eine feste IP-Adresse hat und von aussen erreichbar ist. Da wir auf diesem Rechner eine Firewall haben wollen, habe ich mich so gut es geht in iptable eingelesen. 100% bin ich mir aber nicht sicher, ob ich es auch wirklich verstanden habe :?

Was wir möchten:
von aussen erlauben das per ssh sich eingeloggt werden darf, der Webserver erreichbar ist und das anfragen an und von unserem dns-server erlaubt sind.
Hierzu mal mein script:

#! /bin/sh

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 7531 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

Was ich noch nicht hinbekommen habe:
Auf dem Server läuft exim4, da eine Webanwendung emails versenden muß.
Ich hätte nun gerne die firewall so, das emails vom webserver versendet werden darf, anderesrum aber keiner über den server emails versenden kann.
Hat dazu einer eine Idee?

Danke und Gruß
Frank


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 24. Jan 2006 16:17 
Offline
prolinux-forum-admin
Benutzeravatar

Registriert: 20. Apr 2004 12:19
Beiträge: 601
Wohnort: AT
hi

1. würde ich exim so konfigurieren das nur localhost versenden darf.
2. brauchst du glaub ich noch diese regel
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT

bin mir aber nicht sicher (iptables sind nicht so meines *gg*)

mfg
arno

_________________
[root@host]# cd /pub
[root@host]# more beer


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 25. Jan 2006 10:46 
Offline

Registriert: 13. Jan 2006 8:18
Beiträge: 4
Hallo,

danke dir für die Rückmeldung. Werde ich mal testen.

Frank


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de