PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einwahlrouter +PREROUTING noetig?



403
10.05.02, 14:37
Hi,


Habe einen Isdn Einwahlrouter.
Für den müssen natürlich Iptables-Rules her.




#!/bin/bash

echo 1> /proc/sys/net/ipv4/ip_forward
echo 0> /proc/sys/net/ipv4/tcp_syncookies
echo 1> /proc/sys/net/ipv4/ip_dynaddr

modprobe ipt

#flush

#ipt als modul


# flush all rules
iptables -F
iptables -X
iptables -Z

# default polizei
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


# LAN --> INET

iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
# reicht es hier das default dev. ippp0 zu masquieren?
#iptables -t nat -A POSTROUTING -o ippp1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp3 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp4 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ippp5 -j MASQUERADE

iptables -A FORWARD -t filter -i eth0 -o ippp0 -j ACCEPT
iptables -A FORWARD -t filter -i ippp0 -o eth0 -m state --state related,established -j ACCEPT

# diese hier klappen wunderbar
# Dank an die ct
iptables -N meineserver_tcp
iptables -A meineserver_tcp -p tcp --tcp-flags ALL SYN -j LOG
iptables -A meineserver_tcp -p tcp -j ACCEPT

##bei vollem betrieb
iptables -A INPUT -m multiport -p tcp --dport 21,25,1000,80,110,113,137,138,139,389,443,3128,200 11 -j

meineserver_tcp

## paranoia
#iptables -A INPUT -m multiport -p tcp --dport 1000,80,20011 -j

meineserver_tcp
iptables -N meineserver_udp
iptables -A meineserver_udp -p udp -j LOG
iptables -A meineserver_udp -p udp -j ACCEPT
iptables -A INPUT -m multiport -p udp --dport 123,3130,3401,4827 -j meineserver_udp

iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j LOG
iptables -A OUTPUT -o eth0 -s 192.168.50.100 -j LOG
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




# Hardcore DROPS

iptables -A INPUT -i eth0 -s 127.0.0.1/8 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0 -j DROP
#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP

#iptables -A OUTPUT -o eth0 -s 127.0.0.1/8 -j DROP
#iptables -A INPUT -d \! 192.168.50.0/24 -j DROP
#iptables -A INPUT -i eth0 -s 0.0.0.0 -j DROP
#iptables -A INPUT -p tcp --dport 1:1023 -j DROP
#iptables -A INPUT -p tcp --dport 1024:65535 -j DROP



Abgesehen davon, dass die Rules noch sehr unordentlich angeordnet sind
folgende Frage:

Sind solche Regeln notwendig?




iptables -t nat -A PREROUTING -i eth0 -j DROP
iptables -t nat -A PREROUTING -i ippp0 -j DROP

Wenn ich es richtig verstehe, handelt es sich um DNAT, es ist z.B. kein Ping auf den Router mehr möglich?

nobody0
12.05.02, 01:20
Das hat mit Ping nicht zu tun; das verhindert nur Forwarding; d. h. alle Daten gehen durch den Router u. können z. B. gelogt oder virengescannt werden.