shakesbeer
12.04.05, 21:25
hallo,
unten ist mein firewall. leider wird dadurch der seitenaufbau des webs superlangsam. was kann ich diesbezüglich verbessern? was kann ich ändern?
ausserdem funktioniert yum nicht mehr. was für eine regel muss ich denn aufsetzen, um yum wieder benutzen zu können?
danke im voraus,
shakesbeer
#!/bin/sh
depmod -a
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe ipt_REJECT
modprobe iptable_nat
modprobe ipt_MASQUERADE
IPTABLES=/sbin/iptables
# all the lines below are NAT routing
# flush
$IPTABLES -F
$IPTABLES -X
#$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t filter
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
# Default-Policy: alles sperren
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# masquerading
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
# lokale prozesse
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# ungueltige Pakete abweisen
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/24 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
# DNS zum Nameserver erlauben
$IPTABLES -A FORWARD -i eth0 -p TCP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -p UDP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p UDP -d 192.168.x.x --dport 53 -j ACCEPT
# HTTP und FTP ins internet erlauben
$IPTABLES -A FORWARD -i eth0 -p TCP --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP --sport 80 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP --dport 21 -j ACCEPT
# ssh erlauben
$IPTABLES -A INPUT -i eth0 -p TCP --dport 22 -d 192.168.0.4 -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p TCP --sport 22 -s 192.168.0.4 -d 192.168.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# icmp: ping
$IPTABLES -A FORWARD -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 5 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 11 -j ACCEPT
# eigene Regel
$IPTABLES -N wall
$IPTABLES -A wall -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A wall -m state --state NEW -i ! ppp+ -j ACCEPT
$IPTABLES -A wall -j DROP
# die wall-Regel für INPUT UND OUPUT
$IPTABLES -A INPUT -j wall
$IPTABLES -A FORWARD -j wall
1,8 Anfang
unten ist mein firewall. leider wird dadurch der seitenaufbau des webs superlangsam. was kann ich diesbezüglich verbessern? was kann ich ändern?
ausserdem funktioniert yum nicht mehr. was für eine regel muss ich denn aufsetzen, um yum wieder benutzen zu können?
danke im voraus,
shakesbeer
#!/bin/sh
depmod -a
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe ipt_REJECT
modprobe iptable_nat
modprobe ipt_MASQUERADE
IPTABLES=/sbin/iptables
# all the lines below are NAT routing
# flush
$IPTABLES -F
$IPTABLES -X
#$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t filter
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
# Default-Policy: alles sperren
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# masquerading
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
# lokale prozesse
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# ungueltige Pakete abweisen
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/24 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
# DNS zum Nameserver erlauben
$IPTABLES -A FORWARD -i eth0 -p TCP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -p UDP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP -d 192.168.x.x --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p UDP -d 192.168.x.x --dport 53 -j ACCEPT
# HTTP und FTP ins internet erlauben
$IPTABLES -A FORWARD -i eth0 -p TCP --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP --sport 80 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -i ppp0 -p TCP --dport 21 -j ACCEPT
# ssh erlauben
$IPTABLES -A INPUT -i eth0 -p TCP --dport 22 -d 192.168.0.4 -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p TCP --sport 22 -s 192.168.0.4 -d 192.168.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# icmp: ping
$IPTABLES -A FORWARD -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 5 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP --icmp-type 11 -j ACCEPT
# eigene Regel
$IPTABLES -N wall
$IPTABLES -A wall -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A wall -m state --state NEW -i ! ppp+ -j ACCEPT
$IPTABLES -A wall -j DROP
# die wall-Regel für INPUT UND OUPUT
$IPTABLES -A INPUT -j wall
$IPTABLES -A FORWARD -j wall
1,8 Anfang