frost
18.03.05, 09:58
Hallo,
ich benutze seit geraumer Zeit eine alte PII-Mühle als Router (Debian). Desweiteren läuft auf diesem Router auch noch Squid und Snort. Im zu schützenden Netzwerk selbst sind drei Rechner: Zwei mit Debian und einer mit WinXP. Auf einem Linux-Hobel läuft ein Mailserver (Postfix) und ein Webserver (Apache 2), die beide von aussen erreichbar sind. Des weiteren wird besagter Hobel auch als Fileserver (Samba) benutzt.
Für diese Umgebung benutze ich neben der oben genannten Konfiguration folgendes iptables-Script:
!/bin/bash
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -o ppp0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 30022 -j ACCEPT (SSH)
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.100:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40022 -j DNAT --to 192.168.1.100:40022 (SSH)
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 25 -j DNAT --to 192.168.1.100:25
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 110 -j DNAT --to 192.168.1.100:110
tput bel > /dev/tty9
Sind mir bei diesem Script grobe Fehler unterlaufen? Was ist verbesserungswürdig? Für Hilfe und Anregungen bin ich SEHR dankbar!
Gruß,
Andreas
ich benutze seit geraumer Zeit eine alte PII-Mühle als Router (Debian). Desweiteren läuft auf diesem Router auch noch Squid und Snort. Im zu schützenden Netzwerk selbst sind drei Rechner: Zwei mit Debian und einer mit WinXP. Auf einem Linux-Hobel läuft ein Mailserver (Postfix) und ein Webserver (Apache 2), die beide von aussen erreichbar sind. Des weiteren wird besagter Hobel auch als Fileserver (Samba) benutzt.
Für diese Umgebung benutze ich neben der oben genannten Konfiguration folgendes iptables-Script:
!/bin/bash
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -o ppp0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 30022 -j ACCEPT (SSH)
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.100:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40022 -j DNAT --to 192.168.1.100:40022 (SSH)
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 25 -j DNAT --to 192.168.1.100:25
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 110 -j DNAT --to 192.168.1.100:110
tput bel > /dev/tty9
Sind mir bei diesem Script grobe Fehler unterlaufen? Was ist verbesserungswürdig? Für Hilfe und Anregungen bin ich SEHR dankbar!
Gruß,
Andreas