Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
linux gateway

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dhartmann



Anmeldungsdatum: 17.09.2004
Beiträge: 25

BeitragVerfasst am: 26. Jan 2006 12:18   Titel: linux gateway

Hallo, ich hoffe mir kann jemand bei der Erstellung eines sicheren Gateways unter Debian gnu Linux helfen. Ich habe schon ein Skript geschrieben, bin mir aber noch nicht sicher ob das schon reicht und ob es richtig ist?

IPTABLES
Es sollen nur diese Dienste zugelassen sein
- Internet Gateway mit transparentem squid
- SSH (FORWARD/INPUT) ACCEPT
- http, ftp, ssh, (FORWARD ACCEPT

Durch rechersche und Artikel von selflinux
habe ich folgendes Skript geschrieben, bin mir aber nicht sicher ob es funkioniert und ob noch was fehlt für optimale Sciherheit
Bitte um ergänzung des Skriptes für ein GATEWAY mit zwei Schnittstellen
eth0 intern
eth1 extern

#! /bin/sh
# Netfilter Gateway firewall security script

# Filterregeln löschen
iptables -F

# INPUT/OUTPUT CHAIN
#
# Self access by loopback
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
#
# Accept Established connections
iptables -A INPUT -m state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --tcp-options ! 2 -j REJECT --reject-with tcp-reset
#
# Accept Secure shell port
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
#
# TCP Pakete ohne kompletten header werden verworfen
iptables -A INPUT -p TCP -s 10.0.0.0/8 --tcp-flags SYN,RST,ACK SYN -J DROP
iptables -A INPUT -p TCP -s externe-ip --tcp-flags SYN,RST,ACK SYN -J DROP
#
# deny localhost ICMP traffic
iptables -A INPUT -s 127.0.0.1 -p icmp -j drop
#
# deny extern connection
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
#
# Drop all other INPUT connections
iptables -P INPUT DROP



#OUTPUT CHAIN
#
# fragmentierte Pakete werden verworfen (DDOS Atack)
iptables -A OUTPUT -f -d 10.3.25.108 -j drop
iptables -A OUTPUT -f -d externeip -j drop
#
# drop all other OUTPUT connections
iptables -P OUTPUT DROP


#
# *ROUTING SECURITY* (forwarding)
#
# Aktivieren der Kernel Routerfunktion (packet forwarding)
echo 1 > /proc/sys/net/ipv4/ip_forwad


# FORWARD CHAIN
#
# FORWARDING Akzeptieren
iptables -A FORWARD -o eth0 -j ACCEPT
#
# Paket logging mit limit aktivieren
iptables -A FORWARD -m limit -j LOG
#
# Schutz vor Syn-Flood-Attacken
iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
#
# Ping of Death schutz
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#
# Portscanning deaktivieren
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT
#
# HTTP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
#
# FTP
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p udp --dport 21 -j ACCEPT
#
# SSH
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p udp --dport 22 -j ACCEPT
#
# deny extern connections
iptables -A FORWARD -i eth1 0 -m state --state NEW,INVALID -j DROP
#
# drop all other FORWARD connections
iptables -P FORWARD DROP



# NAT CHAIN

# transparenter squid proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Masquerading
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy