hallo zusammen!

ich hab da ein kleines problem mit meinen iptables! ich habe alles soweit gemacht was nötig ist um eine firewall einrichten zu können! Nur die iptables (forward) funktioniert nicht richtig! wenn ich die auf ACCEPT einstelle geht es, aber das ist nicht der sinn der sache!!!

wäre sehr froh wenn mir jemand weiterhelfen könnte!

ps: bin ein linux(anfänger) :)

gruss iriqi :cool:

Die Informationen sind ein bisschen sehr spärlich, ausserdem wurde das Thema schon des Öfteren zerkaut, benutz mal die SuFu

Du mußt zumindest posten was für eine Firewall Du einsetzt:

- eine der Distribution beiliegende wie die SuSE-Firewall?
- ein von einem Generator wie http://harry.homelinux.org stammendes Iptables-Script?
- ein selbst erstelltes Iptables Script?

Wenn es ein erstelltes oder selbst geschriebenes Iptables-Script ist wäre es zudem wichtig zu erfahren ob Du iptables oder ipchains einsetzt...

Du kannst das Script auch anhängen...

mfg
cane

also das wäre mein script! was ist falsch daran? was müsste ich ändern?

"ich will das nichts ausser HTTP, DNS, HTTPS, POP3, NNTP, SMTP von innen nach ausse geht! und von aussen nach innen ist alles verboten!
der ganze unerlaubte verkehr soll geloggt werden!"


************************************************** ********
iptables -Z
iptables -X
iptables -F
echo 1 >> /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 119 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A OUTPUT -j LOG
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -j DROP
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 22 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

************************************************** ********

gruss iriqi :cool:

Guck dir mal mein Script an, sollte in etwa das sein was du suchst, musst es halt noch deinen Wünschen entsprechend anpassen.


http://www.linuxforen.de/forums/attachment.php?attachmentid=11763&stc=1

also ich danke zuerst mal!

und habe noch ein paar informationen! ich habe einen windows 2000 pc der über einen linux router/firewall ins netz geht!
muss da nicht etwas mit FORWARD im script haben :confused:

gruss iriqi :cool:

Was ist Dein internes und was Dein externes Interface?
Du maskierst über eth0, aber die Forward-Regeln erlauben nur ssh und http von eth0 kommend nach eth1 (also "die Gegenrichtung")
Und DNS ist da auch noch nicht beachtet - Ist der Linux-Rechner DNS-Server oder muss der Win-Rechner mit DNS nach draussen?


echo 1 >> /proc/sys/net/ipv4/ip_forward
IMHO
echo 1 > /proc/sys/net/ipv4/ip_forward

hallo


windwos pc muss mit dns raus! linux kiste ist kein dsn server!
eth0 --> geht ins internet
eth1 --> geht zum windows pc

gruss iriqi :cool:

hallo


windwos pc muss mit dns raus! linux kiste ist kein dsn server!
eth0 --> geht ins internet
eth1 --> geht zum windows pc

gruss iriqi :cool:

Dann formuliere doch auch die Regeln entsprechend!

z.B. für DNS

iptables -A FORWARD -p udp --dport 53 -i eth1 -o eth0 -m state --state NEW -j ACCEPT

Hi,

das ist offensichtlich ein geändertes Script, welches ursprünglich aus meinem iptables Generator erzeugt wurde. Aber warum hast Du den Lizenzhinweis rausgenommen? ;)


Guck dir mal mein Script an, sollte in etwa das sein was du suchst, musst es halt noch deinen Wünschen entsprechend anpassen.

http://www.linuxforen.de/forums/attachment.php?attachmentid=11677

Harry

oh ja, tut mir leid.

Werd ich sofort berichtigen. Benutzte das Script eigentlich erst in der Orginalversion und wollte mir dann ein eigenes schreiben, mich hat es aber dann doch so überzeugt, dass ich einige Teile komplett übernommen habe.

Sry nochmals

Hi steve,

na das ist ja nicht wirklich ein Problem, deshalb auch der ;) in meinem Posting.
Nur da die Skripte ja unter der GPL stehen, wäre es halt schön, wenn die Hinweise dazu bei Modifikationen auch erhalten bleiben :)

Harry