PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie verbessere ich meine Firewall



11.03.01, 13:44
Hallo.

Ich dachte immer mein Router und seine Firewall würdemn mich ganz gut schützen vor Angriffen etc aus Net....
Dem ist aber nicht so.
Ich habe bei www.hackerwhacker.com (http://www.hackerwhacker.com) einen Portscann gemacht.
Auf meinem Router soll ein Trojaner namens Subseven laufen...
udn sowieso sei mein system total offen wie ein scheunentor....

also hier meine firewall [suse]
#!/sbin/sh
/sbin/depmod -a

/sbin/modprobe ip_masq_irc

/sbin/modprobe ip_masq_ftp

/sbin/modprobe ip_masq_quake 27000,27910,27960,27015,27115,27005,26000


echo "1" > /proc/sys/net/ipv4/ip_dynaddr

/sbin/ipchains -M -S 7200 10 160

/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -s 192.168.0.2/24 -j MASQ

if [ -e /proc/sys/net/ip4v/conf/all/rp_filter ] ; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $i
done
fi

#BattleCom-Support

ipmasqadm autofw -A -v -r udp 2300 2400 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 2300 2400 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 47624 47624 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r udp 47624 47624 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r udp 28800 28900 -h 192.168.0.2/3

#Napster-Support

ipmasqadm autofw -A -v -r udp 6600 6700 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 6600 6700 -h 192.168.0.2/3

#Mirc-File-Transmission-Support

ipmasqadm autofw -A -v -r udp 40002 40004 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 40001 40001 -h 192.168.0.2/3

#BattleCom-Server-Support

FW_TCP_SERVICES_INTERNAL="0:65535"
FW_UDP_SERVICES_INTERNAL="0:65535"

---------------------------------------------

As you'll soon see, this test really works your system. Each packet sent out prints the port it is going to. You may see several attempts on the same port. This is just HackerWhacker (using then nmap program that hackers use) making sure it didn't miss anything. The more heavily protected your system is, the longer this test will take.

If you'd like to speed up the test, tell your firewall to REJECT connections instead of DENYING them. If the terms REJECT or DENY are different for your firewall, REJECT means to send an icmp unreacheable back to the sender. DENY means to simply drop the packet without informing the sender.

Their are both pros and cons to each way. If you DENY packets, then it takes longer for a hacker to scan you, however, a machine with DENY in force is obvious and this tells the hacker you have a firewall present. REJECTING fools the hacker that your ports are not open (even if they are) but it allows scans to be MUCH faster (20 times faster or more).


Port State Protocol Information
21
OPEN tcp ftp FTP or Trojan Horses Doly, Fore, Blade Runner, Larva
FTP has a history of security holes. This test checks for anonymous logins which FTP usually has by default. More Information
Result total 28
drwxr-xr-x 2 root root 4096 Mar 3 00:57 bin
drwxr-xr-x 2 root root 4096 Mar 3 00:57 dev
drwxr-xr-x 2 root root 4096 Mar 3 00:57 etc
drwxr-xr-x 2 root root 4096 Mar 3 00:57 lib
drwxr-xr-x 2 root root 4096 Mar 3 00:57 msgs
drwxr-xr-x 2 root root 4096 Jul 29 2000 pub
drwxr-xr-x 3 root root 4096 Mar 3 00:57 usr


22
OPEN tcp ssh Secure Shell Login
More Information
Result SSH-1.99-OpenSSH_2.1.1

23
OPEN tcp telnet Telnet
Protocols like telnet which send their passwords unencrypted are getting more and more dangerous. Anywhere along the data path, data traffic can be watched and passwords easily stolen. More Information
25
OPEN tcp sendmail Simple Mail Transfer or Some Trojan Horses
Sendmail has its share of security problems but if you have it running, you probably need it and can't just shut it off. The business membership has an additional, in-depth scan for SMTP servers.FixingYour E-Mail server to prevent relaying. More Information
Result 220 neo.local ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux 8.10.0-0.3; Sat, 10 Mar 2001 15:47:52 +0100

37
OPEN tcp time timeserver
Delivers the current time-date to a resolution of 1 second as the standard unix time_t (number of seconds since midnight GMT January 1st 1970) More Information
Result #BET#BD"
79
OPEN tcp finger Finger or Trojan Horse Firehotcker
It should be no one's business who is on your computer. More Information
Result [213.7.134.4]

Welcome to Linux version 2.2.16 at neo.local !

3:48pm up 1:34, 1 user, load average: 0.00, 0.00, 0.00

Login Name Tty Idle Login Time Where
root root pts/0 21 Sat 15:26 192.168.0.2

110
OPEN tcp pop3 PostOffice V.3 or Trojan Horse ProMail
POP3 should not be accessible over the Internet. Users who log in are sending their names and passwords unencrypted and these items can be "sniffed" by anyone who has access to the data channel anywhere along the route the information travels. Often, shutting it off is not an option since your customers need it. A compromise is to make sure that any account accessing POP3 mail does not have any higher privileges such as the ability to log in or connect to file shares. That way, if the password is compromised, only the user's email is endangered and not the entire machine. More Information
111
OPEN tcp portmapper portmapper, rpcbind
This service can reveal locations of other RPC services like NFS. It should not be accessible to strangers. We try to get information out of it here and if you get a "result" it's time to use a firewall to deny access or turn this service off entirely if you don't need it. It is needed by any programs that use RPC (Remote Procedure Call) like NFS. More Information
513
OPEN tcp login BSD rlogind(8)
All the "r" commands are notoriously insecure because of .rhosts files. You should not permit .rhosts files on your computer because users often just allow ANYONE to log in. More Information
514
OPEN tcp shell BSD rshd(8)
All the "r" commands are notoriously insecure because of .rhosts files. You should not permit .rhosts files on your computer because users often just allow ANYONE to log in. More Information
901
OPEN tcp swat SWAT Samba Web Administration Tool
More Information
Result HTTP/1.0 401 Authorization Required
WWW-Authenticate: Basic realm="SWAT"
Connection: close
Content-Type: text/html

<HTML><HEAD><TITLE>401 Authorization Required</TITLE></HEAD><BODY><H1>401 Authorization Required</H1>You must be authenticated to use this service

</BODY></HTML>


6711
OPEN tcp sub7 Sub Seven Trojan Horse
Any Trojan Horse on your computer is the worse security breach you could have. It essentially means your computer is wide open to the Internet for anyone to use as they see fit. Removing this Trojan from your system should be your highest priority.

17.03.01, 09:23
Hi Pima,

Erst einmal gleich zum Anfang.....

Solche Port-Scans sollte man lieber selber durchführen (ich persönlich traue solchen Seiten nicht ganz über den Weg).

Der Aufbau einer sicheren Firewall beginnt bereits in der Planungsphase. Du soltest dir also als erstes darüber im Klaren werden, welche Dienste und Programme sollen auf der Firewall laufen. Was willst du im Internet (oder Netzwerk) überhaupt machen?! Also welche Internet-Dienste benötigst du.

Wenn das alles klar ist, solltest du dir einen Schlachtplan aufbauen. Welche Firewall soll benutzt werden (unter Linux währe dort die Frage ob ipchains basierend oder per netfilter). Wichtig bei der Überlegung ist auch, ob du Programme von Drittanbietern zur Konfiguration der Firewall-Regeln nutzen willst.

Ist dies alles klar... dann soltest du die ein paar Blätter und 'nen Stift schnappen und die genau aufschreiben wie die Regeln arbeiten sollen (wann passiert was?! wann muß welche Regel greifen usw).

Bei der Installation sollte man grundsätzlich zum Anfang eine Minimalinstalltion durchführen (bei der SuSE gibt es eine vorgefertigte Konfiguration dafür). Als nächstes alle Dienste/Programme installieren die benötigt werden. Diese dann konfigurieren und unbenötigte Dienste abschalten. Jetzt, zum Schluß wird die Firewall eingerichtet (also die Regeln verfasst). Und ganz zum Schluß wird diese mit Portscannern und ähnlichem durchgecheckt.

Ganz wichtig ist, dass sich die Firewall bis zu vollständigen Konfiguration nicht im Netzwerk befindet... Ist alles zufriedenstellen (und funktionieren auch die Regeln), kann man sie ins Netz stellen...

Hier noch ein paar Buchtips:
Einrichten von Internet Firewalls; O'Reilly Verlag; ISBN: 3-89721-169-6

Practical Unix & Internet Security; O'Reilly Verlag; ISBN: 1-56592-148-8

TCP/IP Netzwerk-Administration; O'Reilly Verlag; ISBN: 3-89721-110-6

MFG, SmackTV

20.03.01, 17:37
Moin.

So, ich starte meine Firewall /etc/rc.d/rc.firewall per hand
die suse firewall wird beim booten nicht gestartet.

so nun will ich folgendes einstellen:


$IPCHAINS -P input DENY
$IPCHAINS -P forward DENY
$IPCHAINS -P output ACCEPT

$IPCHAINS -F
$IPCHAINS -X
$IPCHAINS -N ppp-in

$IPCHAINS -A input -i lo -j ACCEPT
$IPCHAINS -A input -i $GATE -j ppp-in
$IPCHAINS -A input -j DENY -l

$IPCHAINS -A ppp-in -p tcp -y --dport ssh -j DENY -l

$IPCHAINS -A ppp-in -p tcp ! -y --dport ssh -j ACCEPT -l

IPCHAINS -A ppp-in -p tcp -y -j DENY

$IPCHAINS -A ppp-in -p tcp ! -y -j ACCEPT

$IPCHAINS -A ppp-in -p tcp -y --dport auth -j DENY

$IPCHAINS -A ppp-in -p icmp --icmp-type destination-unreachable -j ACCEPT -l
$IPCHAINS -A ppp-in -p icmp --icmp-type echo-request -j ACCEPT -l
$IPCHAINS -A ppp-in -p icmp --icmp-type echo-reply -j ACCEPT -l
$IPCHAINS -A ppp-in -p icmp --icmp-type time-exceeded -j ACCEPT -l
$IPCHAINS -A ppp-in -p icmp --icmp-type parameter-problem -j ACCEPT -l

Frage:

Muss ich jetzt immer /sbin/ipchains/ und dann die regel schreiben, oder kann ich wie oben lassen...zudem hab ich danach noch dieses:

/sbin/depmod -a

/sbin/modprobe ip_masq_irc

/sbin/modprobe ip_masq_ftp

/sbin/modprobe ip_masq_quake 27000,27910,27960,27015,27115,27005


echo "1" > /proc/sys/net/ipv4/ip_dynaddr

/sbin/ipchains -M -S 7200 10 160

/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -s 192.168.0.2/24 -j MASQ


#BattleCom-Support

ipmasqadm autofw -A -v -r udp 2300 2400 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 2300 2400 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 47624 47624 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r udp 47624 47624 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r udp 28800 28900 -h 192.168.0.2/3

#Napster-Support

ipmasqadm autofw -A -v -r udp 6600 6700 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 6600 6700 -h 192.168.0.2/3

#Mirc-File-Transmission-Support

ipmasqadm autofw -A -v -r udp 40002 40004 -h 192.168.0.2/3
ipmasqadm autofw -A -v -r tcp 40001 40001 -h 192.168.0.2/3

#BattleCom-Server-Support

FW_TCP_SERVICES_INTERNAL="0:65535"
FW_UDP_SERVICES_INTERNAL="0:65535"

20.03.01, 17:44
Also ich möchte:

einen router mit firewall

den router hab ich [Pi167 MHZ mit 96 MB RAM]

die firewall sollte so konzipiert sein, das keiner von außen auf meine Rechner zugreifen kann.

ich möchte also masquerading nutzen für ftp quake und irc
zudem möchte ich surfen udn email abholen.
ICQ, Napster udn BattleCOm nutzen.
mehr nicht.

die dienste im intetd werde ich deaktivieren, oder den inetd ganz ausschalten!

so nun brauch ich vorschläge, wie ich dies am besten unter einen Hut bringe, oben hab ich schon eenn gemacht, was sagt ihr dazu...
ich wäre euch sehr dankbar wenn ihr mir helfen könnt.

zudem wäre ich auch mal ganz froh, einen perfekt komplilierten kernel zu haben, kann mri jemand seine "network options" mal zeigen?
ich habe isdn und ich will auch irgendwann mal eienn proxy laufen lassen, aber erst wenn cih einen schneleren rechner bekomme, BRAUCH ich da noch die IPCHAINS regeln??
ich glaub ich muss nur meine von mir gewünschten dienszt masqen, oder?


danke im voraus für eure Hilfe!

20.03.01, 19:26
Hi Pima!

Für IP-Masquerading brauchst Du ebenfalls IPCHAINS, es sei denn - aber damit habe ich keine Erfahrung, wenn's falsch ist korrigier's halt einer http://www.linuxforen.de/ubb/wink.gif - Du setzt den o.g. Proxy auf. Dann musst Du jedoch deinen Rechnern im internen Netz sagen, dass sie ueber den Proxy raus sollen.

Lies Dir vielleicht einfach mal das hier durch, ist zu Firewalling und Masquerading: http://sdb.suse.de/sdb/de/html/sm_masq2.html

Zum Masquerading selbst und deinen o.g. Wünschen:
Das Masquerading funktioniert so, dass der Router eine Anfrage bekommt, als Absender steht die IP des anfragenden Rechners. Der Router (oder eher IPCHAINS) vertauscht nun die Absender IP mit seiner eigenen (meist wegen Einwahl dynamisch zugewiesenen), benutzt jedoch einen hohen Port für seine Anfrage, an dem er dann letztendlich erkennt, dass die Anfrage von diesem einen Rechner aus dem LAN kam.
Die Sache ist also in sofern schon "ziemlich" sicher, da nur Verbindungen an dein LAN gehen, die auch angefordert wurden.

PROBLEM: Manche Programme (z.B. Battlecom, ICQ, ...) erwarten jedoch eine Verbindung von außen, sonst könnte sich keiner zu deinem BC-Server verbinden. Dafür müsstest Du also Portbereiche freigeben. Lies Dir wie gesagt das Skript mal grob durch.

Ciao,

DJ

21.03.01, 17:50
Erstmal danke ich äußer mich wenn ich zeit habe dazu....morgen oder so
;-)

Pima

22.03.01, 15:56
hallo .

also wie gesagt geht es bei meinem router darum, ihn sicher zu machen, und meinen Windoof Rechner vor Angriffen etc zu schützen.
Programme die ich brauche sind ICQ, mIRC, BattleCom und ich spiel Counter-Strike im Net.
Ich möchte nur vom Netzwerk aus auf den Rechner zugreifen können [Telnet] undda auch per Rooteinloggung einstelleungen machen können.
ANSONSTEN soll kein Dienst nebenbei offen sein oder laufen.
Frage, wie kompilier ich den Kernel, welche Häkchen müssen gemahct werden UND wie mach ich die benötige Firewall, wo spiecher ich sie ab etc...
Wenn ich da Hilfe bekomemn würde wär ganz toll -> ;-)
Ich hab mir schon Howtos udn ettliche Seite im Net zum Thema ducrchgelesen, nur alleine komem ich damit nicht klar -> ;-((
Tja, udn nun sitz ich hier.....HILFE
Schreibt mir mal ein paar CONF-Vorschläge, das wär ganz gut oder anregungen...thx

24.03.01, 10:27
Hi Pima,

Die erste Frage die du dir stellen solltest, setz ich ipchains oder netfilter ein????

Für ipchains solltest du den 2.2.16 oder 2.2.18 Kernel verwenden.

Für netfilter (iptables) brauchst du mindestens den 2.4.0 Kernel (aber ich empfehle eher den 2.4.1 oder 2.4.2, die sind nicht so Bug belastet wie der 2.4.0).

Alle Kernel-Quellen findest du unter www.kernel.org. (http://www.kernel.org.)

Ein HOWTO zum kompilieren und einbinden unter www.linuxhq.com (http://www.linuxhq.com) oder www.linuxhq.de. (http://www.linuxhq.de.)

Deine Installation sollte schon sehr schmal sein. Also nur Sachen installieren was du brauchst:
- ipchains (oder iptables, je nachdem ob netfilter oder nicht)
- openssh (sollte grundsätzlich dem Telnet vorgezogen werden)
-Proxy (Squid2 oder Squid2.3)
-sudo (wenn du die Kiste remote administrieren willst)
-Programme die das Administrieren leichter machen (was weiß ich, unzip, mc oder so was halt)
-die Software für dein Modem/ISDN

Wenn das gemacht ist Kernel neu kompilieren (siehe oben) und testen. Wichtig: Ließ dir bitte die entsprechenden HOWTOS zu den Paketfiltern durch, welche Optionen gebracht werden --> in der Regel paketfilter, routing, masquerading/nat-support --> es gibt eigentlich immer eine kurze Hilfe zu den einzelnen Optionen).

Läuft der Kernel, sollte das Netz eingerichtet werden (Netzwerkkarte, Modem/ISDN, Routing).

Jetzt solltest du die Kiste abhärten. Also den Programmen (außer ein paar mit chpasswd, sudo chgroup) die SUID und SGUID entfernen. Dies geht am einfachsten, indem du die Permission des Systems auf Secure/bzw Paranoid setzt (leider weiß ich nicht welche Distri du benutzt, sorry).

Ist das erledigt, dienste abschalten die nicht benötigt werden und das SSH konfigurieren, aber so daß es nur auch anfragen vom Netzwerk aus reagiert, es gibt dafür die Option "listen" (siehe man sshd).

Jetzt kann die Firewall und Ihre Regeln implemtiert werden (die oben sahen so weit ganz gut aus --> hab sie aber bloß überflogen).

Jetzt wird der Benutzer für die remote administration eingerichtet (sollte nur normaler user sein. Jetzt muß noch das Sudo eingerichtet werden. Hier kanst du festlegen, ob der Benutzer volle Rechte (ala Root) erhält, oder nur begrenzt (siehe man sudo). Ach ja ganz wichtig, der root darf sich natürlich niemals remote aufschalten können.

Als letztes kannst du den Squid konfigurieren und die Regeln so abändern, daß deine Clients nur noch zum Squid (bei http/https/ftp) eine Verbindung aufbauen können und dieser dann für die Clients ins Inet geht. (siehe man squid.conf für die Konfiguration)

Ich hoffe etwas weitergeholfen haben zu können. Das Thema ist sehr komplex (besonders weil du ja von 0 anfangen willst deine Rechner aufzusetzen).

MFG, SmackTV

25.03.01, 14:52
Hi, so ich hab Linux mal neu iinstalliert [suse 7.0 kernel: 2.2.16]

und nun hab ich eine firewall geschreiben, erehalte aber folgende fehlermeldung:

try /sbin/ipchains -h

ich hab dir firewall aufm router [192.168.0.1]
und möchte mit emienm windoof rechner [192.168.0.2] ins net....

hier die firewall:


Firewall

#chains löschen

/sbin/ipchains input -F
/sbin/ipchains output -F
/sbin/ipchains forward -F


#default policy definieren

/sbin/ipchains -P input DENY
/sbin/ipchains -P ouput REJECT
/sbin/ipchains -P forward REJECT

#loopback interface aktivieren

/sbin/ipchains -A input -i $lo_int -j ACCEPT
/sbin/ipchains -A output -i $lo_int -j ACCEPT

#schutz vor SYN flooding

ECHO 1 > /proc/sys/net/ipv4/tcp_syncookies
For f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

#IP Forwarding aktivieren

echo "1" > /proc/sys/net/ipv4/ip_forward

#IP Spoofing:eigene IP-Adresse

/sbin/ipchains -A input -i$ext_int -s $ip_adr -j DENY -l

#IP Spoofing: Loopback Interface

/sbin/ipchains -A input $ext_int -s $lo_int -j DENY

/sbin/ipchains -A output $ext_int -s $lo_int -j DENY -l

#IP-Spoofing: reservierte Adreßbereiche

/sbin/ipchains -A input -i $ext_int -s $class_a -j DENY
/sbin/ipchains -A input -i $ext_int -d $class_a -j DENY
/sbin/ipchains -A output -i $ext_int -s $class_a -j DENY -l
/sbin/ipchains -A output -i $ext_int -d $class_a -j DENY -l

/sbin/ipchains -A input -i $ext_int -s $class_b -j DENY
/sbin/ipchains -A input -i $ext_int -d $class_b -j DENY
/sbin/ipchains -A output -i $ext_int -s $class_b -j DENY -l
/sbin/ipchains -A output -i $ext_int -d $class_b -j DENY -l

/sbin/ipchains -A input -i $ext_int -s $class_c -j DENY
/sbin/ipchains -A input -i $ext_int -d $class_c -j DENY
/sbin/ipchains -A output -i $ext_int -s $class_c -j DENY -l
/sbin/ipchains -A output -i $ext_int -d $class_c -j DENY -l

/sbin/ipchains -A input -i $ext_int -s $class_d -j DENY -l
/sbin/ipchains -A output -i $ext_int -s $class_d -j REJECT -l

/sbin/ipchains -A output -i $ext_int -d $class_d -j REJECT -l
/sbin/ipchains -A input -i $ext_int -d $class_d -j REJECT -l


/sbin/ipchains -A input -i $ext_int -s $class_e -j DENY -l

#IP Spoofing: Broadcast Adressen

/sbin/ipchains -A input -i $ext_int -s $bcast_dest -j DENY -l
/sbin/ipchains -A output -i $ext_int -d $bcast_src -j DENY -l


# ICMP : nur die notwendigen ICMP-Typen akzeptieren

/sbin/ipchains -A ppp-in -p icmp --icmp-type destination-unreachable -j ACCEPT -l
/sbin/ipchains -A ppp-in -p icmp --icmp-type echo-request -j ACCEPT -l
/sbin/ipchains -A ppp-in -p icmp --icmp-type echo-reply -j ACCEPT -l
/sbin/ipchains -A ppp-in -p icmp --icmp-type time-exceeded -j ACCEPT -l
/sbin/ipchains -A ppp-in -p icmp --icmp-type parameter-problem -j ACCEPT -l

#DNS
/sbin/ipchains -A input -i $ext_int -p udp -s $DNS 53 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p udp -s $ip_adr $unpriv_ports -d $DNS -j ACCEPT

/sbin/ipchains -A input -i $ext_int -p tcp -s $DNS 53 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $DNS 53 -j ACCEPT


#SMTP

/sbin/ipchains -A input -i $ext_int -p tcp ! -y -s $SMTP 25 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $SMTP 25 -j ACCEPT

#POP3

/sbin/ipchains -A input -i $ext_int -p tcp ! -y -s $POP 110 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $POP 110 -j ACCEPT

#WEB

/sbin/ipchains -A input -i $ext_int -p tcp ! -y -s $alles 80 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $alles 80 -j ACCEPT


#FTP

/sbin/ipchains -A input -i $ext_int -p tcp ! -y -s $alles 21 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $alles 21 -j ACCEPT


/sbin/ipchains -A input -i $ext_int -p tcp -s $alles 20 -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp ! -y -s $ip_adr $unpriv_ports -d $alles 20 -j ACCEPT


/sbin/ipchains -A input -i $ext_int -p tcp ! -y -s $alles $unpriv_ports -d $ip_adr $unpriv_ports -j ACCEPT
/sbin/ipchains -A output -i $ext_int -p tcp -s $ip_adr $unpriv_ports -d $alles $unpriv_ports -j ACCEPT


#Lan ->Internet

/sbin/ipchains -A input -i $int_int -s $lan -j ACCEPT
/sbin/ipchains -A output -i $int_int -s $lan -j ACCEPT


#MASQ


/sbin/ipchains -A forward -i $ext_int -s $lan -j MASQ


frage: kann mir jemamd helfen [fehlermeldung]??

kann ich am emde der firewall noch

/sbin/modprobe Ip_masq_irc

/sbin/modprobe ip_masq quake [ports...]

hinzufügen ??? und zusätzlich noch befehle die die ports für battlecom und ciq freigeben sprcih

ipmasqadm autofw -A -v -r tcp [udp] port -h 192.168.0.2

danke im voraus, euer pima

25.03.01, 16:37
hi,
ich hab eben gerade bemerkt das das cript totaler käse ist, ich hab das von pro-linux, und da hab ich eben noch mal nachgelesen, das vom provider eine staatische ip zugeteilt wird, ich hab aber eine dynamische ip vom rpoivder, das heißt sie ändert sich jedes mal beim einwählen....

wie änder ich denn jetzt die variablen?

ich hab immer noch das gefühl das nix geht, ich komplilier den kernel, hab ip_forward an etc und kann trotz meines alten scriptes siehe ganz oben net ins net;-(
ich mach das so, das ich einen nameserver angib [195.185.185.195] und den nach der aausführung der firewall ANPINGE
mein windoow hat dann als gateway 192.168.01. die addi vom router also und dann als dns aktiviert auf localhost neo.pima.net [name vom router] udn als dsn suchrteihenfolge ist 195.185.185.195 eingetragen...
komisch .....


ALSO WENN ICH :

#!/sbin/sh
/sbin/depmod -a

/sbin/modprobe ip_masq_irc

/sbin/modprobe ip_masq_ftp

/sbin/modprobe ip_masq_quake 27000,27910,27960,27015,27115,27005,26000


echo "1" > /proc/sys/net/ipv4/ip_dynaddr

/sbin/ipchains -M -S 7200 10 160

/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -s 192.168.0.2/24 -j MASQ

if [ -e /proc/sys/net/ip4v/conf/all/rp_filter ] ; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $i
done
fi

#BattleCom-Support

ipmasqadm autofw -A -v -r udp 2300 2400 -h 192.168.0.2
ipmasqadm autofw -A -v -r tcp 2300 2400 -h 192.168.0.2
ipmasqadm autofw -A -v -r tcp 47624 47624 -h 192.168.0.2
ipmasqadm autofw -A -v -r udp 47624 47624 -h 192.168.0.2
ipmasqadm autofw -A -v -r udp 28800 28900 -h 192.168.0.2


#Mirc-File-Transmission-Support

ipmasqadm autofw -A -v -r udp 40002 40004 -h 192.168.0.2
ipmasqadm autofw -A -v -r tcp 40001 40001 -h 192.168.0.2/3

BEHALTE in der rc.firewall

und im inetd telnet ssh ftp finger uns os ausstelle reicht das doch oder ...um im net zu überleben???

ich hab nämlich bald keine lust mehr dauernd irgendwelche scripts zu erstellen und von anderen zu "kopieren"uns zu testen wenn eh net funzt eil ich immer fehler mache, naja, sdgt mal was dazu!

28.03.01, 18:53
Hi Pima,

solang die Konfig funktioniert (und du die Dienste abschaltest) kann man es im Moment so lassen.

Dann kannst du ja Stück für Stücl das Script erweitern bis es nur noch das macht was es soll (vorher natürlich die originale sichern).

MFG, SmackTV