403
10.05.02, 14:37
Hi,
Habe einen Isdn Einwahlrouter.
Für den müssen natürlich Iptables-Rules her.
#!/bin/bash
echo 1> /proc/sys/net/ipv4/ip_forward
echo 0> /proc/sys/net/ipv4/tcp_syncookies
echo 1> /proc/sys/net/ipv4/ip_dynaddr
modprobe ipt
#flush
#ipt als modul
# flush all rules
iptables -F
iptables -X
iptables -Z
# default polizei
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# LAN --> INET
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
# reicht es hier das default dev. ippp0 zu masquieren?
#iptables -t nat -A POSTROUTING -o ippp1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp3 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp4 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp5 -j MASQUERADE
iptables -A FORWARD -t filter -i eth0 -o ippp0 -j ACCEPT
iptables -A FORWARD -t filter -i ippp0 -o eth0 -m state --state related,established -j ACCEPT
# diese hier klappen wunderbar
# Dank an die ct
iptables -N meineserver_tcp
iptables -A meineserver_tcp -p tcp --tcp-flags ALL SYN -j LOG
iptables -A meineserver_tcp -p tcp -j ACCEPT
##bei vollem betrieb
iptables -A INPUT -m multiport -p tcp --dport 21,25,1000,80,110,113,137,138,139,389,443,3128,200 11 -j
meineserver_tcp
## paranoia
#iptables -A INPUT -m multiport -p tcp --dport 1000,80,20011 -j
meineserver_tcp
iptables -N meineserver_udp
iptables -A meineserver_udp -p udp -j LOG
iptables -A meineserver_udp -p udp -j ACCEPT
iptables -A INPUT -m multiport -p udp --dport 123,3130,3401,4827 -j meineserver_udp
iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j LOG
iptables -A OUTPUT -o eth0 -s 192.168.50.100 -j LOG
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Hardcore DROPS
iptables -A INPUT -i eth0 -s 127.0.0.1/8 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0 -j DROP
#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP
#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP
Abgesehen davon, dass die Rules noch sehr unordentlich angeordnet sind
folgende Frage:
Sind solche Regeln notwendig?
iptables -t nat -A PREROUTING -i eth0 -j DROP
iptables -t nat -A PREROUTING -i ippp0 -j DROP
Wenn ich es richtig verstehe, handelt es sich um DNAT, es ist z.B. kein Ping auf den Router mehr möglich?
Habe einen Isdn Einwahlrouter.
Für den müssen natürlich Iptables-Rules her.
#!/bin/bash
echo 1> /proc/sys/net/ipv4/ip_forward
echo 0> /proc/sys/net/ipv4/tcp_syncookies
echo 1> /proc/sys/net/ipv4/ip_dynaddr
modprobe ipt
#flush
#ipt als modul
# flush all rules
iptables -F
iptables -X
iptables -Z
# default polizei
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# LAN --> INET
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
# reicht es hier das default dev. ippp0 zu masquieren?
#iptables -t nat -A POSTROUTING -o ippp1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp3 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp4 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp5 -j MASQUERADE
iptables -A FORWARD -t filter -i eth0 -o ippp0 -j ACCEPT
iptables -A FORWARD -t filter -i ippp0 -o eth0 -m state --state related,established -j ACCEPT
# diese hier klappen wunderbar
# Dank an die ct
iptables -N meineserver_tcp
iptables -A meineserver_tcp -p tcp --tcp-flags ALL SYN -j LOG
iptables -A meineserver_tcp -p tcp -j ACCEPT
##bei vollem betrieb
iptables -A INPUT -m multiport -p tcp --dport 21,25,1000,80,110,113,137,138,139,389,443,3128,200 11 -j
meineserver_tcp
## paranoia
#iptables -A INPUT -m multiport -p tcp --dport 1000,80,20011 -j
meineserver_tcp
iptables -N meineserver_udp
iptables -A meineserver_udp -p udp -j LOG
iptables -A meineserver_udp -p udp -j ACCEPT
iptables -A INPUT -m multiport -p udp --dport 123,3130,3401,4827 -j meineserver_udp
iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j LOG
iptables -A OUTPUT -o eth0 -s 192.168.50.100 -j LOG
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Hardcore DROPS
iptables -A INPUT -i eth0 -s 127.0.0.1/8 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0 -j DROP
#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP
#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP
Abgesehen davon, dass die Rules noch sehr unordentlich angeordnet sind
folgende Frage:
Sind solche Regeln notwendig?
iptables -t nat -A PREROUTING -i eth0 -j DROP
iptables -t nat -A PREROUTING -i ippp0 -j DROP
Wenn ich es richtig verstehe, handelt es sich um DNAT, es ist z.B. kein Ping auf den Router mehr möglich?