Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptable: Regeln so ok

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Thal



Anmeldungsdatum: 13.01.2006
Beiträge: 4

BeitragVerfasst am: 24. Jan 2006 12:19   Titel: iptable: Regeln so ok

Hallo,

wir haben hier ein Debian Rechner der eine feste IP-Adresse hat und von aussen erreichbar ist. Da wir auf diesem Rechner eine Firewall haben wollen, habe ich mich so gut es geht in iptable eingelesen. 100% bin ich mir aber nicht sicher, ob ich es auch wirklich verstanden habe Confused

Was wir möchten:
von aussen erlauben das per ssh sich eingeloggt werden darf, der Webserver erreichbar ist und das anfragen an und von unserem dns-server erlaubt sind.
Hierzu mal mein script:

#! /bin/sh

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 7531 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

Was ich noch nicht hinbekommen habe:
Auf dem Server läuft exim4, da eine Webanwendung emails versenden muß.
Ich hätte nun gerne die firewall so, das emails vom webserver versendet werden darf, anderesrum aber keiner über den server emails versenden kann.
Hat dazu einer eine Idee?

Danke und Gruß
Frank
 
Benutzer-Profile anzeigen Private Nachricht senden

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 24. Jan 2006 16:17   Titel:

hi

1. würde ich exim so konfigurieren das nur localhost versenden darf.
2. brauchst du glaub ich noch diese regel
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT

bin mir aber nicht sicher (iptables sind nicht so meines *gg*)

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Thal



Anmeldungsdatum: 13.01.2006
Beiträge: 4

BeitragVerfasst am: 25. Jan 2006 10:46   Titel:

Hallo,

danke dir für die Rückmeldung. Werde ich mal testen.

Frank
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy