dreamer_dani
12.08.14, 19:01
Hi Leute,
ich habe ein merkwürdiges Problem. Ich über mich gerade daran eine Linux-Kiste als Firewall aufzubauen.
Habe jetzt versucht die Forward-Tabelle einzurichten.
Mit einem Linux-Betriebssystem (PC, Android am Handy) klappt auch alles, nur Rechner mit Windows 7/8 Betriebssystem bekommen einfach keine Verbindung zum Internet.
Weder http(s) noch EMail über IMAP / SMPT / POP3..
Ich kann mir das einfach nicht erklären. Die Policy ist auf DROP gesetzt:
Startskript:
#--------------------------------------------------------------------------------------
#SYSTEM INITALISIEREN
#--------------------------------------------------------------------------------------
#Die Regeln aller Ketten loeschen
iptables -F
iptables -t nat -F
#Policity setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#--------------------------------------------------------------------------------------
#LOOPBACKUP-DEVICE FREIGEBEN (local device lo)
#--------------------------------------------------------------------------------------
#eingehende Kommunikation für lo (Localhost) zulassen
iptables -A INPUT -i lo -j ACCEPT
#ausgehende Kommunikation für lo (Localhost zulassen
iptables -A OUTPUT -o lo -j ACCEPT
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#LOCAL.TABLE EINBINDEN
sh /root/.iptables/tables/local.table
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#FORWARD.TABLE EINBINDEN
sh /root/.iptables/tables/forward.table
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#NAT.TABLE EINBINDEN
#sh /root/.iptables/tables/nat.table
#--------------------------------------------------------------------------------------
Dann noch die die FORWARD REGELN:
#Variablen
CLIENTS=192.168.1.0/24
LAN="eth0"
IPTABLES="/sbin/iptables"
#------------Antworten zulassen fuer ESTABLISHED/RELATED-------------------#
$IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
#------------Antworten zulassen fuer REALATED Meldungen ICMP-------------------#
$IPTABLES -A FORWARD -p icmp -m state --state RELATED -j ACCEPT
#____________________________________________
#HTTP(S) und DNS
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 80 -j LOG
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 80 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 443 -j LOG
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 443 -m state --state NEW -j ACCEPT
#DNS
$IPTABLES -A FORWARD -s $CLIENTS -d any/0 -p udp --dport 53 -m state --state NEW -j ACCEPT
#____________________________________________
#SSH IN/OUT
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 22 -m state --state NEW -j ACCEPT
#___________________________________________
#EMAIL
#O2
$IPTABLES -A FORWARD -s $CLIENTS -d imap4.o2online.de -i $LAN -o $LAN -p tcp --dport 143 -m state --state NEW -j ACCEPT
#STRATO
$IPTABLES -A FORWARD -s $CLIENTS -d imap.strato.de -i $LAN -o $LAN -p tcp --dport 993 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -d smtp.strato.de -i $LAN -o $LAN -p tcp --dport 465 -m state --state NEW -j ACCEPT
#TH NBG
$IPTABLES -A FORWARD -s $CLIENTS -d my.ohmportal.de -i $LAN -o $LAN -p tcp --dport 993 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -d my.ohmportal.de -i $LAN -o $LAN -p tcp --dport 465 -m state --state NEW -j ACCEPT
#O2 POP3
$IPTABLES -A FORWARD -d pop3.o2online.de -p tcp --dport 995 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -d smtp.o2online.de -p tcp --dport 465 -m state --state NEW -j ACCEPT
#___________________________________________
#FTP OUT
modprobe ip_conntrack-ftp
#__________________________________________
#SAMBA OUT
#__________________________________________
#HTTP(S) und APACHE
#__________________________________________
#NTP OUT
Wäre super wenn Ihr mir das erklären könntet. Wie gesagt bin noch Anfänger mit Netfilter / iptables.
Danke schon mal.
Gruß dreamer_dani
ich habe ein merkwürdiges Problem. Ich über mich gerade daran eine Linux-Kiste als Firewall aufzubauen.
Habe jetzt versucht die Forward-Tabelle einzurichten.
Mit einem Linux-Betriebssystem (PC, Android am Handy) klappt auch alles, nur Rechner mit Windows 7/8 Betriebssystem bekommen einfach keine Verbindung zum Internet.
Weder http(s) noch EMail über IMAP / SMPT / POP3..
Ich kann mir das einfach nicht erklären. Die Policy ist auf DROP gesetzt:
Startskript:
#--------------------------------------------------------------------------------------
#SYSTEM INITALISIEREN
#--------------------------------------------------------------------------------------
#Die Regeln aller Ketten loeschen
iptables -F
iptables -t nat -F
#Policity setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#--------------------------------------------------------------------------------------
#LOOPBACKUP-DEVICE FREIGEBEN (local device lo)
#--------------------------------------------------------------------------------------
#eingehende Kommunikation für lo (Localhost) zulassen
iptables -A INPUT -i lo -j ACCEPT
#ausgehende Kommunikation für lo (Localhost zulassen
iptables -A OUTPUT -o lo -j ACCEPT
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#LOCAL.TABLE EINBINDEN
sh /root/.iptables/tables/local.table
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#FORWARD.TABLE EINBINDEN
sh /root/.iptables/tables/forward.table
#--------------------------------------------------------------------------------------
#--------------------------------------------------------------------------------------
#NAT.TABLE EINBINDEN
#sh /root/.iptables/tables/nat.table
#--------------------------------------------------------------------------------------
Dann noch die die FORWARD REGELN:
#Variablen
CLIENTS=192.168.1.0/24
LAN="eth0"
IPTABLES="/sbin/iptables"
#------------Antworten zulassen fuer ESTABLISHED/RELATED-------------------#
$IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
#------------Antworten zulassen fuer REALATED Meldungen ICMP-------------------#
$IPTABLES -A FORWARD -p icmp -m state --state RELATED -j ACCEPT
#____________________________________________
#HTTP(S) und DNS
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 80 -j LOG
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 80 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 443 -j LOG
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 443 -m state --state NEW -j ACCEPT
#DNS
$IPTABLES -A FORWARD -s $CLIENTS -d any/0 -p udp --dport 53 -m state --state NEW -j ACCEPT
#____________________________________________
#SSH IN/OUT
$IPTABLES -A FORWARD -s $CLIENTS -i $LAN -o $LAN -p tcp --dport 22 -m state --state NEW -j ACCEPT
#___________________________________________
#O2
$IPTABLES -A FORWARD -s $CLIENTS -d imap4.o2online.de -i $LAN -o $LAN -p tcp --dport 143 -m state --state NEW -j ACCEPT
#STRATO
$IPTABLES -A FORWARD -s $CLIENTS -d imap.strato.de -i $LAN -o $LAN -p tcp --dport 993 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -d smtp.strato.de -i $LAN -o $LAN -p tcp --dport 465 -m state --state NEW -j ACCEPT
#TH NBG
$IPTABLES -A FORWARD -s $CLIENTS -d my.ohmportal.de -i $LAN -o $LAN -p tcp --dport 993 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -s $CLIENTS -d my.ohmportal.de -i $LAN -o $LAN -p tcp --dport 465 -m state --state NEW -j ACCEPT
#O2 POP3
$IPTABLES -A FORWARD -d pop3.o2online.de -p tcp --dport 995 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -d smtp.o2online.de -p tcp --dport 465 -m state --state NEW -j ACCEPT
#___________________________________________
#FTP OUT
modprobe ip_conntrack-ftp
#__________________________________________
#SAMBA OUT
#__________________________________________
#HTTP(S) und APACHE
#__________________________________________
#NTP OUT
Wäre super wenn Ihr mir das erklären könntet. Wie gesagt bin noch Anfänger mit Netfilter / iptables.
Danke schon mal.
Gruß dreamer_dani