tiris
19.12.02, 12:29
Hi,
Ich hab hier nen selbstgekochten iptablesfilter als Firewall der für mich auch gleich das Routing übernehmen soll. In den Filter hab ich jetzt eingetragen dass alle wichtigen Dienste erlaubt werden sollen, alos E-mail,www und so weiter. Aber immer wenn ich versuche kmail zu benutzen oder eine gesichterte Verbindung mit htps aufbauen möchte bekomme ich die Meldung unbekannter Rechner. Ich poste auch mal meine Filterregeln.
tiris
P.S.: Im Hintergrund läuft auch squid, aber nur für httpd.
-----------------Filterregeln------------------------------
# INTERNET-Regeln fuer Pakete aus dem LAN -----------------------------------
# DNS-Anfragen der NETBIOS-Ports 137-139 aus dem LAN werden geblockt
# (Einwahlproblem)
$IPTABLES -A FORWARD -i $DEV_INT -p udp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP
$IPTABLES -A FORWARD -i $DEV_INT -p tcp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP
# Behandlung der ICMP-Pakete
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT
# DNS-Abfragen erlauben - Port 53 - tcp,udp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 53 -j ACCEPT
# HTTP erlauben - Port 80 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 80 -j ACCEPT
# HTTPS erlauben - Port 443 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 443 -j ACCEPT
# FTP erlauben - ftp - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport ftp -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 1024: -j ACCEPT
# SMTP erlauben (E-Mails an Mail-Provider senden) - Port 25 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 25 -j ACCEPT
# POP3 erlauben (E-Mails vom Mail-Provider holen) - Port 110 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 110 -j ACCEPT
# NNTP erlauben (Datenaustausch mit News-Groups) - Port 119 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 119 -j ACCEPT
-----------------Ende------------------------------------------------
Ich hab hier nen selbstgekochten iptablesfilter als Firewall der für mich auch gleich das Routing übernehmen soll. In den Filter hab ich jetzt eingetragen dass alle wichtigen Dienste erlaubt werden sollen, alos E-mail,www und so weiter. Aber immer wenn ich versuche kmail zu benutzen oder eine gesichterte Verbindung mit htps aufbauen möchte bekomme ich die Meldung unbekannter Rechner. Ich poste auch mal meine Filterregeln.
tiris
P.S.: Im Hintergrund läuft auch squid, aber nur für httpd.
-----------------Filterregeln------------------------------
# INTERNET-Regeln fuer Pakete aus dem LAN -----------------------------------
# DNS-Anfragen der NETBIOS-Ports 137-139 aus dem LAN werden geblockt
# (Einwahlproblem)
$IPTABLES -A FORWARD -i $DEV_INT -p udp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP
$IPTABLES -A FORWARD -i $DEV_INT -p tcp -s $INT \
--sport 137:139 -o $DEV_EXT -j DROP
# Behandlung der ICMP-Pakete
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT
# DNS-Abfragen erlauben - Port 53 - tcp,udp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 53 -j ACCEPT
# HTTP erlauben - Port 80 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 80 -j ACCEPT
# HTTPS erlauben - Port 443 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 443 -j ACCEPT
# FTP erlauben - ftp - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport ftp -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 1024: -j ACCEPT
# SMTP erlauben (E-Mails an Mail-Provider senden) - Port 25 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 25 -j ACCEPT
# POP3 erlauben (E-Mails vom Mail-Provider holen) - Port 110 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 110 -j ACCEPT
# NNTP erlauben (Datenaustausch mit News-Groups) - Port 119 - tcp
$IPTABLES -A FORWARD -o $DEV_EXT -m state --state NEW \
-p tcp --sport 1024: --dport 119 -j ACCEPT
-----------------Ende------------------------------------------------