iptable nur bestimmte Ports raus lassen [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptable nur bestimmte Ports raus lassen

Schmolleg

18.01.10, 22:24

Hallo, ich habe in meinem Firewall Script folgenden Eintrag:

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ich will aber nur bestimmt Ports raus lassen. Jetzt hab ich schon versucht diesen Eintrag so zu modifizieren das er nur z.B. 80 raus lassen soll.

iptables -A OUTPUT -p tcp -o wlan0 --sport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Geht auch nicht. Wie kann ich nur bestimmte Ports raus lassen ?

derRichard

18.01.10, 22:31

hi!

wenn dann so:

iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

so gehen nach draußen nur neue verbindungen raus, die tcp/80 oder 443 als zielport haben.

hth,
//richard

Schmolleg

19.01.10, 18:49

Ich kann trotzdem nicht eine webeite anschauen. Ich check nicht was ich falsch gemacht habe.
Also das ist alles was ich bis jetzt festgelegt habe:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

derRichard

19.01.10, 19:07

du lässt auch keine pakete mehr rein zu dir.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

sollte helfen.
dns musst du jedoch auch noch erlauben...

//richard

Schmolleg

19.01.10, 19:14

durch die Regel kann ich aber auch wieder auf ftp, icq, usw.

ich will jeden Port der von meinem Rechner ausgeht einzeln freigeben, um somit möglicher Malware (auch wenn ich unter Linux bin) nicht zu gestatten nach außen zu kommunizieren.

derRichard

19.01.10, 19:18

das denke ich nicht.
wobei ich ja nicht all deine regeln kenne.

gegen malware hilft das alles ganz genau gar nichts.
1. jede halbwegs gute malware fährt über https raus.
2. jede halbwegs gute malware umgeht dein lokales firewallset.

//richard

Schmolleg

19.01.10, 19:30

wobei ich ja nicht all deine regeln kenne.

Gut das du das sagst hab jetzt gerade vergessen meine Tabelle mit den Regeln zu lernen. Funzt jetzt wie es soll.

Da vielen Dank für die Hilfe :)