Same
28.11.06, 19:54
Nabend zusammen,
habe mir gerade frisch Fedora Core 5 installiert und wollte mir direkt iptables setzen. Hab davon aber recht wenig Ahnung. Mit Hilfe eines Freundes habe ich die ersten Schritte bewältigt.
Da ich ein Anfänger bin würde ich mich über Vorschläge freuen.
Also hab jetzt erstmal meine Iptables so gesetzt...
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain benni (0 references)
target prot opt source destination
Das sollte laut Gentooseite (http://gentoo-wiki.com/HOWTO_Iptables_and_stateful_firewalls#A_basic_fire wall_script) erstmal funktionieren. Jetzt würde ich aber gerne ein bisschen Feintuning machen und hab vor dieses veränderte Script zu verwenden.
#! /bin/bash
# basic stateful firewall for a workstation or laptop that isn't running any
# network services like a web server, SMTP server, ftp server, etc.
if [ "$1" = "start" ]
then
echo "Starting firewall..."
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i ! eth0 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT --sport 80 -j ACCEPT
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i ! eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
/sbin/iptables -F INPUT
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P OUTPUT ACCEPT
fi
Mein Ziel ist es mit diesem Script alle Verbindungen die von außen kommen sollen gedroppt werden. Es sei den ich baue eine Verbindung auf nach draußen und erwarte eine Antwort.
Der Port 80 soll offen sein, da er nur für den Webbrowser genutzt wird.
Ich will aber auch nicht das sich eine Verbindung nach draußen aufbaut ohne das ich das akzeptiere, also eigentlich genau das Gegenteil von Regelnr.1. Bei dem letzten Punkt bin ich mir nicht sicher wie ich das realisieren soll. Die letzte Regel hört sich blöd an, aber gibts den Output nur um bestimmten Programmen keine Verbindung nach außen zu erlauben?
Bitte um Hilfe habe gerade einen tierischen Logikfehler ^^
habe mir gerade frisch Fedora Core 5 installiert und wollte mir direkt iptables setzen. Hab davon aber recht wenig Ahnung. Mit Hilfe eines Freundes habe ich die ersten Schritte bewältigt.
Da ich ein Anfänger bin würde ich mich über Vorschläge freuen.
Also hab jetzt erstmal meine Iptables so gesetzt...
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain benni (0 references)
target prot opt source destination
Das sollte laut Gentooseite (http://gentoo-wiki.com/HOWTO_Iptables_and_stateful_firewalls#A_basic_fire wall_script) erstmal funktionieren. Jetzt würde ich aber gerne ein bisschen Feintuning machen und hab vor dieses veränderte Script zu verwenden.
#! /bin/bash
# basic stateful firewall for a workstation or laptop that isn't running any
# network services like a web server, SMTP server, ftp server, etc.
if [ "$1" = "start" ]
then
echo "Starting firewall..."
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i ! eth0 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT --sport 80 -j ACCEPT
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i ! eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
/sbin/iptables -F INPUT
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P OUTPUT ACCEPT
fi
Mein Ziel ist es mit diesem Script alle Verbindungen die von außen kommen sollen gedroppt werden. Es sei den ich baue eine Verbindung auf nach draußen und erwarte eine Antwort.
Der Port 80 soll offen sein, da er nur für den Webbrowser genutzt wird.
Ich will aber auch nicht das sich eine Verbindung nach draußen aufbaut ohne das ich das akzeptiere, also eigentlich genau das Gegenteil von Regelnr.1. Bei dem letzten Punkt bin ich mir nicht sicher wie ich das realisieren soll. Die letzte Regel hört sich blöd an, aber gibts den Output nur um bestimmten Programmen keine Verbindung nach außen zu erlauben?
Bitte um Hilfe habe gerade einen tierischen Logikfehler ^^