PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables mit 2 NIC's



maxxle
07.10.02, 17:23
Wie ist das mit der INPUT/OUTPUT-QUEUE wenn im Rechner zwei NIC's werklen, dazu dann noch routing aktiviert ist und NAT kommt natürlich auch noch dazu. Ich würde natürlich eth0 (Intern) gerne komplett offen lassen und nur eth1 (DSL) schließen. Kann ich meine INPUT/OUTPUT-QUEUE nur von dem einen NIC dicht machen und was läuft dann weiter mit dem Routing?

Weiß vielleicht jemand ein Tutorial, in dem eine Firewall mit 2NIC's aufgebaut wird oder hat jeamnd sowas laufen und kann mir mal seine FW-Datei schicken?


THX:rolleyes:

Thomas
07.10.02, 17:52
Die Optionen -i (In-Interface) sowie -o (Out-Interface) sind deine Freunde.

Damit gibst du das Device an, auf welches die Regel zutreffen soll.


Thomas.

maxxle
07.10.02, 18:03
Bin gerade nicht an dem PC, aber wenn ich ein "iptables -L" mache, sehe ich ja meine drei Queues.

=> Ich kann die ja jede dicht machen mit einem "iptables -A INPUT -j DENY"
Kann ich jetzt an dieser Stelle auch schon ein "Input"Interface und "Output"Interfache angeben?!

:confused:

nesh
08.10.02, 01:31
Hallo,
hier mal ein kleines script was den betrieb "sehr" sicher macht.
Getreu dem Motto: Alles darf raus und nichts darf rein:

#! /bin/sh
ipt=iptables
localnet=localenetzadresse #zum Beispiel 192.168.0.0/24 oder 192.168.0.0/255.255.255.0

#Erst mal alles zu machen
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
#jetzt dem localen netz alles erlauben
$ipt -A INPUT -s $localnet -i eth0 -j ACCEPT
$ipt -A FORWARD -s $localnet -i eth0 -j ACCEPT
#Antworten von angesprochenen Servern aus Internet "rein lassen"
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#uns zu guter letzt MASQ einschalten
$ipt -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#nicht wundern das hier ppp0 steht. wenn du online bist wird aus eth1 -> ppp0 bzw. bei #ISDN -> ippp0

Gruß
nesh

maxxle
08.10.02, 13:57
Ich danke dir!
Das schaut ja schon mal sehr vernünftig aus. Da kann ich echt was anfangen mit.
Dein Beispiel wird sozusagen der Grundstock meiner FW :D



THX