Hallo

Also Ich habe hier mein Rechner (10.1.1.106/255.255.255.0) und nen router (10.1.1.3/255.255.255.0)

So nun wil ich mich mal an iptables wagen und wolte alle port erstmal dichmachen und dann noch port 80 usw aufmachen die ich brauche.

So nun geh ich hin und sage.

iptables --policy INPUT DROP
iptables --policy FORWARD DROP
iptables --policy OUTPUT ACCEPT

und mache danach mal den port 80 frei.
iptables --table filter --append INPUT --protocol tcp --destination-port 80 --in-interface eth0 --jump ACCEPT

So nun hab ich aber das problemm das ich nicht sufen kann.

Naja hab ich mir gedacht mach ich es mal anders rum hab alles auf ACCEPT gestellt und den port 80 mal geDROP so nun konnte ich trostem noch sufen obwohl der port 80 dicht sein solte.

Nun hab ich mir aber gedacht naja vieleicht ligt ja daran das der Route ja als Gateway hier am rechner angeschlossen ist.
Und alle anfragen erst mal zu ihm laufen.

Und somit kann ich mit geschlossenen port 80 immer noch sufen.

SO nun weis ich aber nicht welchen port ich frei machen muss damit die verbindung zwischenPC und route bestent bleibt.

Und wie ich speziele port offnen oder schlissen sol wenn die immer zum Router gehen anstat erst über den port.

Könnt ihr mir da helfen was ich bei iptables einstellen muss.

(Hoffe ich hab es einwenig verstädnlich geschrieben)

wenn die iptables firewall auf dem rechner läuft, auf dem du surfen möchtest, dann musst du nicht die INPUT chain nutzen, um WWW zu sperren, sondern die OUTPUT chain

hast du etwa nicht das iptables tutorial auf netfilter.org gelesen ?

greez

Huhu.

Hmm ändert aber nicht das problemm das ich nicht alles sperren kann und dann nur den port 80 freimachen kann.

Ne hab ich nicht gelessen ist english das kann ich nicht.
Hab aber das im FAQ board gelessen.

wo läuft denn nun die firewall ?
auf einem router oder lokal ?

die antworten auf diese fragen sind essentiell !
ich stelle sie nicht aus spass
wenn du möchtest, dass dir geholfen wird, obwohl du nicht die zahlreichen tutorials (auch deutsch) im netz lesen möchtest, dann zeige dich ein wenig kooperativ :)

du kannst dein problem relativ easy mit iptables lösen, glaub mir

greez

local auf meinem rechner.
Ich hab mehr angst vor den leuten die im netzwerk sitzen als die die im i-net das unwessen treiben.

Aufen router sind sowieso alle ports von ausen dicht.

okay, dann mach folgendes, um nur web zuzulassen (funzt 100% ansonsten hast was falsch gemacht/beschrieben)

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUPUT DROP

iptables -F
iptables -X

iptables -A INPUT -i lo -J ACCEPT
iptables -A INPUT -m state --state established -J ACCEPT
iptables -A OUTPUT -o lo -J ACCEPT
iptables -A OUTPUT -p tcp --destination-port 80 -o $EXTINT -J ACCEPT

ggf sind noch module zu laden
$EXTINT ersetzt du durch das externe interface (eth0,ppp0,...)

greez

Für Connection Tracking muß (sollte?) das Modul ip_conntrack geladen werden.

Also:


modprobe ip_conntrack #modul für Connection Tracking laden

iptables -F #bestehende Iptables Regeln löschen
iptables -X #bestehende Iptables Chains löschen

iptables -P INPUT DROP #Alle ankommenden Pakete verwerfen
iptables -P FORWARD DROP #Alle Pakete die zur Weiterleitung bestimmt sind verwerfen
iptables -P OUPUT DROP # Alle ausgehenden Pakete verwerfen

iptables -A INPUT -lo -J ACCEPT #Rechnerinternes Netz freischalten (Loopback)
iptables -A OUTPUT -o lo -J ACCEPT #Rechnerinternes Netz freischalten (Loopback)
iptables -A OUTPUT -p tcp --destination-port 80 -o $EXTINT -J ACCEPT #Ausgehende TCP Verbindungen auf Port 80 erlauben
iptables -A INPUT -m state --state established -J ACCEPT #Nur eingehende Pakete erlauben die zu vom Rechner aufgbautenb Verbindungen gehören

@cane

wie ich bereits sagte, müssen ggf noch module nachgeladen werden
sollten sie statisch im kernel sein, ist dies logischerweise nicht der fall

greez

@cane

wie ich bereits sagte, müssen ggf noch module nachgeladen werden
sollten sie statisch im kernel sein, ist dies logischerweise nicht der fall

greez

Habs nur komplett beschrieben ums Fishi leichter zu machen :)


mfg
cane

Huhu

dank euch.

Habs mal auspronbirt.
aber muste ich jetzt nicht mit den anderen programmen die den port 80 nicht benutzen keine verbindung mehr bekommen???

aber muste ich jetzt nicht mit den anderen programmen die den port 80 nicht benutzen keine verbindung mehr bekommen???

Im Moment sollten nur TCP Verbindungen auf Port 80 eines anderen Rechners erlaubt sein, die von deinem PC initiiert werden.

Ist das nicht der Fall oder wie habe ich die Frage zu deuten?

mfg
cane

Hi,


Also Ich habe hier mein Rechner (10.1.1.106/255.255.255.0) und nen router (10.1.1.3/255.255.255.0).....
eine Frage?
Kann dies funktionieren? Du hast eine CLASS-A IP-Adresse angegeben, aber dazu eine CLASS-C Networkmask.

Gruß
Erri

Hmm, ich bin ja kein Subnetz-Spezi aber ich verstehe dass so, dass das Subnetz sich halt auf den Bereich 10.1.1.1 bis 10.1.1.255 erstreckt also 10.1.1.0/24 ist.

Denn die ersten drei Blöcke sind ja die Netzwerkadresse und erst der letzte Block ist die Hostadresse.

Hoffe ich zumindest ;)

mfg
cane

Hi Cane,

Wertebereich (theoretisch)
Class A: 0.0.0.0 bis 127.255.255.255 --> SubnetMask: 255.0.0.0
Class B: 128.0.0.0 bis 191.255.255.255 --> SubnetMask: 255.255.0.0
Class C: 192.0.0.0 bis 223.255.255.255 --> SubnetMask: 255.255.255.0

Private Bereiche:
Class-A: 10.0.0.0 - 10.255.255.255 --> SubnetMask: 255.0.0.0
Class-B: 172.16.0.0 - 172.31.255.255 --> SubnetMask: 255.255.0.0
Class-C: 192.168.0.0 - 192.168.255.255 --> SubnetMask: 255.255.255.0

Dann musst du natürlich noch die Subnetze beachten, die du haben möchtest.
Du kannst beispielsweise vom Host-Teil Bits "klauen" und diese für die Subnetze verwenden.
Somit ändert sich auch deine Subnetmask.

Gruß Erri

Kann dies funktionieren? Du hast eine CLASS-A IP-Adresse angegeben, aber dazu eine CLASS-C Networkmask.

nur nochmal zum allgemeinen verständnis:

ja, dies funktioniert - stichwort CIDR

greez