[GAG]LuCiFeR
08.04.02, 20:10
ich hab mit einem Freund Folgendes Script gebaut (teilweise auch aus teilen anderer scripte im forum :)).
problem, ich komm damit nicht durch bis ins inet von den client pc's aus.
hier das script:
#!/bin/sh
echo "Starting Firewall.."
iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo "1" > /proc/sys/net/ipv4/tcp_syncookies # DoS abwehren
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts d_rate
# Masquerading aktivieren
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#ping aus
iptables -A INPUT -i ppp0 -p ICMP --icmp-type ping -j DROP
#fake pakete filtern
iptables -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
#fake filtern II
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
#weiterleiten
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i ppp0 -o eth0 -j ACCEPT
# intern alles erlauben
iptables -A INPUT -p TCP -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth0 -j ACCEPT
iptables -A INPUT -p UDP -i eth0 -j ACCEPT
iptables -A OUTPUT -p UDP -o eth0 -j ACCEPT
# lokal alles erlauben
iptables -A INPUT -p TCP -i lo -j ACCEPT
iptables -A OUTPUT -p TCP -o lo -j ACCEPT
iptables -A INPUT -p UDP -i lo -j ACCEPT
iptables -A OUTPUT -p UDP -o lo -j ACCEPT
#Router --> extern
#WWW
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
#FTP (nur aktiv)
iptables -A INPUT -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 20 -j ACCEPT
iptables -A INPUT -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 21 -j ACCEPT
#Maskiertes Netz nach außen
#alles erlaubt
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
echo "Firewall Online."
hat jmd eine idee, was genau da schief geht? danke :)
noch was: hat das script auf den ersten blick riesen lücken, oder kann man das so verwenden?
mfg
problem, ich komm damit nicht durch bis ins inet von den client pc's aus.
hier das script:
#!/bin/sh
echo "Starting Firewall.."
iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo "1" > /proc/sys/net/ipv4/tcp_syncookies # DoS abwehren
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts d_rate
# Masquerading aktivieren
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#ping aus
iptables -A INPUT -i ppp0 -p ICMP --icmp-type ping -j DROP
#fake pakete filtern
iptables -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
#fake filtern II
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
#weiterleiten
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i ppp0 -o eth0 -j ACCEPT
# intern alles erlauben
iptables -A INPUT -p TCP -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth0 -j ACCEPT
iptables -A INPUT -p UDP -i eth0 -j ACCEPT
iptables -A OUTPUT -p UDP -o eth0 -j ACCEPT
# lokal alles erlauben
iptables -A INPUT -p TCP -i lo -j ACCEPT
iptables -A OUTPUT -p TCP -o lo -j ACCEPT
iptables -A INPUT -p UDP -i lo -j ACCEPT
iptables -A OUTPUT -p UDP -o lo -j ACCEPT
#Router --> extern
#WWW
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
#FTP (nur aktiv)
iptables -A INPUT -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 20 -j ACCEPT
iptables -A INPUT -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 21 -j ACCEPT
#Maskiertes Netz nach außen
#alles erlaubt
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
echo "Firewall Online."
hat jmd eine idee, was genau da schief geht? danke :)
noch was: hat das script auf den ersten blick riesen lücken, oder kann man das so verwenden?
mfg