Stingray0481
30.08.02, 10:39
Hi,
ich bentze folgendes Iptabels-Skript auf meinem Router/Edonkeyserver. (Die Variablendeklarationen habe ich nicht mitkopiert). Damit der Server auf den Edonkey Ports und SSH-Ports erreichbar ist habe ich untenstehende Zeilen vorläufig auskommentiert (#######).
Leider ist der Server jetzt natürlich komplett offen.
1. Wie kann ich gezielt Löcher in die Firewall bohren für SSH bzw. Edonkey
2. Was hat die letze Zeile für eine Bedeutung? (auch auskommentiert)
Danke, Matthias
# Alle alten Regeln löschen, anschließend die Default-Policy setzen
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -t filter -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
# Wenn keine andere Regel greift, alles erlauben
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
# In der NAT-Tabelle (-t nat) eine Regel fuer alle ueber das Internet-
# Device (-o) ausgehenden Pakete, die maskiert werden sollen, hinter dem
# Routing (POSTROUTING) anhaengen (-A).
$IPTABLES -t nat -A POSTROUTING -o $DEV_INET -j MASQUERADE
# MSSClamping bei allen Paketen, die geforwardet werden (-I FORWARD) aktivieren
# Dieser Aufruf ist nicht notwendig, wenn die MSS bereits durch den rp-pppoe
# geclampt wird (Option -m 1452)
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \
--clamp-mss-to-pmtu
####
#
# Hier beginnt das eigentliche Paket-Filter-Skript
#
####
# Verbiete neue (NEW) und ungültige (INVALID) hereinkommende Pakete
# vom Internetdevice ($DEV_INET)
########$IPTABLES -A INPUT -i $DEV_INET -m state --state NEW,INVALID -j
REJECT
########$IPTABLES -A FORWARD -i $DEV_INET -m state --state NEW,INVALID -j
REJECT
# Forwarding im Kernel nun wieder aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward
#####echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
ich bentze folgendes Iptabels-Skript auf meinem Router/Edonkeyserver. (Die Variablendeklarationen habe ich nicht mitkopiert). Damit der Server auf den Edonkey Ports und SSH-Ports erreichbar ist habe ich untenstehende Zeilen vorläufig auskommentiert (#######).
Leider ist der Server jetzt natürlich komplett offen.
1. Wie kann ich gezielt Löcher in die Firewall bohren für SSH bzw. Edonkey
2. Was hat die letze Zeile für eine Bedeutung? (auch auskommentiert)
Danke, Matthias
# Alle alten Regeln löschen, anschließend die Default-Policy setzen
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -t filter -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
# Wenn keine andere Regel greift, alles erlauben
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
# In der NAT-Tabelle (-t nat) eine Regel fuer alle ueber das Internet-
# Device (-o) ausgehenden Pakete, die maskiert werden sollen, hinter dem
# Routing (POSTROUTING) anhaengen (-A).
$IPTABLES -t nat -A POSTROUTING -o $DEV_INET -j MASQUERADE
# MSSClamping bei allen Paketen, die geforwardet werden (-I FORWARD) aktivieren
# Dieser Aufruf ist nicht notwendig, wenn die MSS bereits durch den rp-pppoe
# geclampt wird (Option -m 1452)
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \
--clamp-mss-to-pmtu
####
#
# Hier beginnt das eigentliche Paket-Filter-Skript
#
####
# Verbiete neue (NEW) und ungültige (INVALID) hereinkommende Pakete
# vom Internetdevice ($DEV_INET)
########$IPTABLES -A INPUT -i $DEV_INET -m state --state NEW,INVALID -j
REJECT
########$IPTABLES -A FORWARD -i $DEV_INET -m state --state NEW,INVALID -j
REJECT
# Forwarding im Kernel nun wieder aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward
#####echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp