Hallo,
wir haben hier ein Debian Rechner der eine feste IP-Adresse hat und von aussen erreichbar ist. Da wir auf diesem Rechner eine Firewall haben wollen, habe ich mich so gut es geht in iptable eingelesen. 100% bin ich mir aber nicht sicher, ob ich es auch wirklich verstanden habe
Was wir möchten:
von aussen erlauben das per ssh sich eingeloggt werden darf, der Webserver erreichbar ist und das anfragen an und von unserem dns-server erlaubt sind.
Hierzu mal mein script:
#! /bin/sh
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p udp --sport 53 --dport 7531 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
Was ich noch nicht hinbekommen habe:
Auf dem Server läuft exim4, da eine Webanwendung emails versenden muß.
Ich hätte nun gerne die firewall so, das emails vom webserver versendet werden darf, anderesrum aber keiner über den server emails versenden kann.
Hat dazu einer eine Idee?
Danke und Gruß
Frank