boba
02.10.01, 10:11
Hallo,
ich bastel gerade an einem iptables script und würde gerne erst alle ports sperren und dan bestimmte freigeben
hier mein script
# Variable werden gesetzt
#
dev_i=eth0
dev_e=ppp0
ip_intern=192.168.1.1
ip_client1=192.168.1.2
ip_lan=192.168.1.0/24
local=127.0.0.1
# Alte Regeln werden bereinigt
iptables -F
# -PORTS---------------------------------------------------------
#
# setzt die policy der Chains auf drop
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# dropped alle pakete in der INPUT Chain
#
iptables -A INPUT -i $dev_i -p tcp -j DROP
#
# Ports werden erlaubt
#
# INPUT CHAIN
#
iptables -A INPUT -i $dev_i -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport pop3 -j ACCEPT
# dropped alle pakete in der OUTPUT Chain
#
iptables -A OUTPUT -o $dev_i -p tcp -j DROP
#
# OUTPUT CHAIN
iptables -A OUTPUT -o $dev_i -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --dport pop3 -j ACCEPT
ich hab das erstmal lokal auf meinem rechner getestet, daher die interne ip.
mein problem ist wenn ich die policy auf drop setze und dann einzelne freigebe kann ich zb. auf keine Webseite mehr zugreifen,
ssh hat funktioniert!
wenn ich erst alle sperre gehts genauso wenig!
muss da evtl. den dns freigeben?
müssen bei der freigabe von ports in beiden chains einträge sein?, für evtl. rückfragen.
hab schon das forum durchsucht aber leider nicht kein passendes beispiel gefunden
hat jemand eine Idee
ich bastel gerade an einem iptables script und würde gerne erst alle ports sperren und dan bestimmte freigeben
hier mein script
# Variable werden gesetzt
#
dev_i=eth0
dev_e=ppp0
ip_intern=192.168.1.1
ip_client1=192.168.1.2
ip_lan=192.168.1.0/24
local=127.0.0.1
# Alte Regeln werden bereinigt
iptables -F
# -PORTS---------------------------------------------------------
#
# setzt die policy der Chains auf drop
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# dropped alle pakete in der INPUT Chain
#
iptables -A INPUT -i $dev_i -p tcp -j DROP
#
# Ports werden erlaubt
#
# INPUT CHAIN
#
iptables -A INPUT -i $dev_i -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $dev_i -p tcp --dport pop3 -j ACCEPT
# dropped alle pakete in der OUTPUT Chain
#
iptables -A OUTPUT -o $dev_i -p tcp -j DROP
#
# OUTPUT CHAIN
iptables -A OUTPUT -o $dev_i -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $dev_i -p tcp --dport pop3 -j ACCEPT
ich hab das erstmal lokal auf meinem rechner getestet, daher die interne ip.
mein problem ist wenn ich die policy auf drop setze und dann einzelne freigebe kann ich zb. auf keine Webseite mehr zugreifen,
ssh hat funktioniert!
wenn ich erst alle sperre gehts genauso wenig!
muss da evtl. den dns freigeben?
müssen bei der freigabe von ports in beiden chains einträge sein?, für evtl. rückfragen.
hab schon das forum durchsucht aber leider nicht kein passendes beispiel gefunden
hat jemand eine Idee