SirVival
15.04.01, 18:43
Also ich hab jetzt seit geraumer Zeit schon meinen Linux Router laufen und es funktioniert auch alles wunderbar.
Jetzt will ich mich mal ranmachen und eine Firewall einrichten.
Hat evtl. einer schon ein FW-Script für Ipchains was enigermaßen sicherheit bietet aber noch Client-Progamme wie ICQ, IRC und Quake zulässt?
mein Masq. sieht zur Zeit so aus
# rc.firewall - einfaches Masquerading-Setup fuer 2.1.x- und
# 2.2.x-Kerne mittels IPCHAINS
#
# Laden von erforderlichen IP-Masq Modulen
#
# Hinweis: Laden Sie nur Module, die Sie auch nutzen wollen. Alle
# derzeit verfuegbaren Masq-Module sind unten aufgefuehrt und vom
# Laden auskommentiert.
#
/sbin/depmod -a
# Unterstuetzt optimierte FTP-Dateiuebertragung mittels der
# Port-Methode
#
/sbin/modprobe ip_masq_ftp
# Unterstuetzt die Maskierung von Real Audio ueber das UDP-Protokoll.
# Real audio funktioniert auch ohne dieses Moduls, dann aber
# im TCP-Modus und das kann fuer Einbusen in der
# Soundqualitaet sorgen
#
/sbin/modprobe ip_masq_raudio
# Erlaubt maskierte IRC DCC-Dateiuebertragung
#
/sbin/modprobe ip_masq_irc
# Die Maskierung von Quake und Quake World wird per Voreinstellung
# unterstuetzt. Diese Module werden nur bei mehreren Spielern
# gleichzeitig hinter dem Masq-Server gebraucht. Wenn Sie QuakeI, II
# oder III ueber andere Serverports spielen wollen,
# dann ist das zweite Beispiel das Richtige
#
# Quake I / QuakeWorld(Ports 26000 and 27000)
/sbin/modprobe ip_masq_quake
#
# Quake I, II und III / QuakeWorld(Ports 26000, 27000, 27910)
#/sbin/modprobe ports=ip_masq_quake 26000,27000,27910
# Unterstuetzt die Maskierung von
# CuSeeme(Can you See me)-Videokonferenz-Software
#
/sbin/modprobe ip_masq_cuseeme
# Unterstuetzt die Maskierung von VDO-live Videokonferenz-Software
#
/sbin/modprobe ip_masq_vdolive
# Kritisch: Aktiviert die IP-Umleitung(IP-forwarding), da sie
# per Voreinstellung deaktiviert ist.
#
echo "1" > /proc/sys/net/ipv4/ip_forward
# Dynamische IP-Adressen:
#
# Wenn Ihnen die IP-Adresse dynamisch zugeteilt wird, ist die
# folgende Option von Vorteil, da sie das Arbeiten mit Diald
# und aehnlichen Programmen erheblich erleichtert.
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# Masq-Auszeiten(timeouts)
#
# 2 Std. Auszeit fuer TCP-Sitzungen
# 10 Sek. Verkehrsauszeit nach dem Empfang des letzten TCP/IP-Paketes
# 60 Sek. Auszeit fuer UDP-Verkehr(maskierte ICQ-Benutzer
# muessen 30 Sek. Firewall-Auszeit im ICQ-Programm
# selbst einstellen)
#
/sbin/ipchains -M -S 7200 10 60
# Aktivierung von IP-Umleitung und Masquerading
#
# Hinweis: Das folgende Beispiel steht fuer ein internes LAN
# mit 192.168.0.x als Netzadresse und 255.255.255.0
# oder 24-Bit als Subnetzmaske. Bitte aendern Sie die
# Netzadresse und Subnetzmaske in die Ihres internen LAN
#
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ
# DHCP: Leute, die ihre externe IP-Adresse von entweder DHCP
# oder BOOTP empfangen wie ADSL-Benutzer muessen dieses noch vor
# dem deny-Befehl einbinden. Der Ausdruck
# »bootp_client_net_if_name« steht fuer den Namen der
# Schnittstelle, der der DHCP/BOOTP-Server eine
# IP-Adresse zuordnet. Das kann etwa
# wie eth0, eth1, etc. aussehen
#
# Das Beispiel ist per Voreinstellung deaktiviert.
#
#ipchains -A input -j ACCEPT -w bootp_clients_net_if_name -s 0/0 68 -d 0/0 67 -p udp
Jetzt will ich mich mal ranmachen und eine Firewall einrichten.
Hat evtl. einer schon ein FW-Script für Ipchains was enigermaßen sicherheit bietet aber noch Client-Progamme wie ICQ, IRC und Quake zulässt?
mein Masq. sieht zur Zeit so aus
# rc.firewall - einfaches Masquerading-Setup fuer 2.1.x- und
# 2.2.x-Kerne mittels IPCHAINS
#
# Laden von erforderlichen IP-Masq Modulen
#
# Hinweis: Laden Sie nur Module, die Sie auch nutzen wollen. Alle
# derzeit verfuegbaren Masq-Module sind unten aufgefuehrt und vom
# Laden auskommentiert.
#
/sbin/depmod -a
# Unterstuetzt optimierte FTP-Dateiuebertragung mittels der
# Port-Methode
#
/sbin/modprobe ip_masq_ftp
# Unterstuetzt die Maskierung von Real Audio ueber das UDP-Protokoll.
# Real audio funktioniert auch ohne dieses Moduls, dann aber
# im TCP-Modus und das kann fuer Einbusen in der
# Soundqualitaet sorgen
#
/sbin/modprobe ip_masq_raudio
# Erlaubt maskierte IRC DCC-Dateiuebertragung
#
/sbin/modprobe ip_masq_irc
# Die Maskierung von Quake und Quake World wird per Voreinstellung
# unterstuetzt. Diese Module werden nur bei mehreren Spielern
# gleichzeitig hinter dem Masq-Server gebraucht. Wenn Sie QuakeI, II
# oder III ueber andere Serverports spielen wollen,
# dann ist das zweite Beispiel das Richtige
#
# Quake I / QuakeWorld(Ports 26000 and 27000)
/sbin/modprobe ip_masq_quake
#
# Quake I, II und III / QuakeWorld(Ports 26000, 27000, 27910)
#/sbin/modprobe ports=ip_masq_quake 26000,27000,27910
# Unterstuetzt die Maskierung von
# CuSeeme(Can you See me)-Videokonferenz-Software
#
/sbin/modprobe ip_masq_cuseeme
# Unterstuetzt die Maskierung von VDO-live Videokonferenz-Software
#
/sbin/modprobe ip_masq_vdolive
# Kritisch: Aktiviert die IP-Umleitung(IP-forwarding), da sie
# per Voreinstellung deaktiviert ist.
#
echo "1" > /proc/sys/net/ipv4/ip_forward
# Dynamische IP-Adressen:
#
# Wenn Ihnen die IP-Adresse dynamisch zugeteilt wird, ist die
# folgende Option von Vorteil, da sie das Arbeiten mit Diald
# und aehnlichen Programmen erheblich erleichtert.
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# Masq-Auszeiten(timeouts)
#
# 2 Std. Auszeit fuer TCP-Sitzungen
# 10 Sek. Verkehrsauszeit nach dem Empfang des letzten TCP/IP-Paketes
# 60 Sek. Auszeit fuer UDP-Verkehr(maskierte ICQ-Benutzer
# muessen 30 Sek. Firewall-Auszeit im ICQ-Programm
# selbst einstellen)
#
/sbin/ipchains -M -S 7200 10 60
# Aktivierung von IP-Umleitung und Masquerading
#
# Hinweis: Das folgende Beispiel steht fuer ein internes LAN
# mit 192.168.0.x als Netzadresse und 255.255.255.0
# oder 24-Bit als Subnetzmaske. Bitte aendern Sie die
# Netzadresse und Subnetzmaske in die Ihres internen LAN
#
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ
# DHCP: Leute, die ihre externe IP-Adresse von entweder DHCP
# oder BOOTP empfangen wie ADSL-Benutzer muessen dieses noch vor
# dem deny-Befehl einbinden. Der Ausdruck
# »bootp_client_net_if_name« steht fuer den Namen der
# Schnittstelle, der der DHCP/BOOTP-Server eine
# IP-Adresse zuordnet. Das kann etwa
# wie eth0, eth1, etc. aussehen
#
# Das Beispiel ist per Voreinstellung deaktiviert.
#
#ipchains -A input -j ACCEPT -w bootp_clients_net_if_name -s 0/0 68 -d 0/0 67 -p udp