rogen
06.07.02, 19:32
habe auf meinen server einen router
iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 110 -j ACCEPT
laufen , funktioniert gut jetzt will ich mir eine firewall bauen - klar sonst wäre es ja zu unsicher -
habe howtos gelesen und das script
# sperrt alles ab
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# interne bereich
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# für den ausgehenden verkehr
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT
# für das netzwerk
iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# für www server
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
# dns server
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# icmp
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
# aufzeichnung
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP
geschrieben wenn ich das script starte geht nichts mehr
ja ok das problem ist wenn ich den router starten möchten funktioniert der auch nichts mehr.
iptables -F
sollte doch alles löschen, damit man wieder von ei
gibt es ein befehl wo man iptables neu starten könnte und die firewall auszuprobieren
oder hat jemand eine gute firewall für mich
p.s ich habe adsl , apache , postfix .. und 2 rechner im netz hängen.
mfg
gerhard rogen
p.p.s gibt es ein wirklich gutes howto ? (deutsch)
iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 110 -j ACCEPT
laufen , funktioniert gut jetzt will ich mir eine firewall bauen - klar sonst wäre es ja zu unsicher -
habe howtos gelesen und das script
# sperrt alles ab
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# interne bereich
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# für den ausgehenden verkehr
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT
# für das netzwerk
iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# für www server
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
# dns server
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# icmp
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
# aufzeichnung
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP
geschrieben wenn ich das script starte geht nichts mehr
ja ok das problem ist wenn ich den router starten möchten funktioniert der auch nichts mehr.
iptables -F
sollte doch alles löschen, damit man wieder von ei
gibt es ein befehl wo man iptables neu starten könnte und die firewall auszuprobieren
oder hat jemand eine gute firewall für mich
p.s ich habe adsl , apache , postfix .. und 2 rechner im netz hängen.
mfg
gerhard rogen
p.p.s gibt es ein wirklich gutes howto ? (deutsch)