nixPeiler
28.02.03, 10:35
Moin leutz!
hab daheim ein netz mit 3 win2k rechnern und einem alten gammel rechner mit SuSE 8.1 drauf! er soll als server dienen (FTP, HTTP usw.) und auch die anderen rechner ins i-net lassen!
Dann hab ich ein tutorial (http://hilfe.exception.at/linux-router-howto.html) gefunden und versucht mit iptables das hinzubringen!
in dem tutorial war ein script dass ich ausführen sollte und dann sollte es gehen! :rolleyes:
hier das scipt:
[I]
#!/bin/bash
IPTABLES=`which iptables`
DEV_EXT=eth0
DEV_INT=eth1
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc
#limits schaffen, um DoS zu erschweren und masquerading einschalten
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/all/bootp_relay
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# default-policies festlegen
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
# löschen aller alten evtl noch vorhandenen rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
# loopback muß lokal offen sein
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# masquerading einschalten
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE
# pakete die zu bestehenden verbindungen gehören (established)
# und solche die dazugehören (related) dürfen rein
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -i $DEV_EXT -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -i $DEV_INT -j ACCEPT
# LAN reinlassen für ssh, ggf ans LAN anpassen
$IPTABLES -A INPUT -s 192.168.0.0/24 -i $DEV_INT -j ACCEPT
# ident-anfragen rejecten
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i $DEV_EXT -p TCP --dport auth -j REJECT
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i $DEV_EXT -p UDP --dport auth -j REJECT
#und ggf NATen
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -i $DEV_EXT -p TCP --dport auth --syn -j ACCEPT
# keine verbindungsanfragen an $DEV_EXT beantworten
$IPTABLES -A INPUT -m state --state NEW -i ! $DEV_EXT -j ACCEPT
# verbindungsanfragen und geblockte pakete loggen
$IPTABLES -A INPUT -i $DEV_EXT -m state --state NEW,INVALID -j LOG
# alles verwerfen, was auf keine bisherige regel gepaßt hat
$IPTABLES -A INPUT -j DROP
$IPTABLES -P INPUT DROP
[I]
weis jemand was daran falsch ist?
oder fehlt noch was?
oder kennt jemand noch en anderes gutes tutorial dafür?
THNX
CU
hab daheim ein netz mit 3 win2k rechnern und einem alten gammel rechner mit SuSE 8.1 drauf! er soll als server dienen (FTP, HTTP usw.) und auch die anderen rechner ins i-net lassen!
Dann hab ich ein tutorial (http://hilfe.exception.at/linux-router-howto.html) gefunden und versucht mit iptables das hinzubringen!
in dem tutorial war ein script dass ich ausführen sollte und dann sollte es gehen! :rolleyes:
hier das scipt:
[I]
#!/bin/bash
IPTABLES=`which iptables`
DEV_EXT=eth0
DEV_INT=eth1
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc
#limits schaffen, um DoS zu erschweren und masquerading einschalten
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/all/bootp_relay
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# default-policies festlegen
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
# löschen aller alten evtl noch vorhandenen rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
# loopback muß lokal offen sein
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# masquerading einschalten
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE
# pakete die zu bestehenden verbindungen gehören (established)
# und solche die dazugehören (related) dürfen rein
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -i $DEV_EXT -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -i $DEV_INT -j ACCEPT
# LAN reinlassen für ssh, ggf ans LAN anpassen
$IPTABLES -A INPUT -s 192.168.0.0/24 -i $DEV_INT -j ACCEPT
# ident-anfragen rejecten
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i $DEV_EXT -p TCP --dport auth -j REJECT
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i $DEV_EXT -p UDP --dport auth -j REJECT
#und ggf NATen
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -i $DEV_EXT -p TCP --dport auth --syn -j ACCEPT
# keine verbindungsanfragen an $DEV_EXT beantworten
$IPTABLES -A INPUT -m state --state NEW -i ! $DEV_EXT -j ACCEPT
# verbindungsanfragen und geblockte pakete loggen
$IPTABLES -A INPUT -i $DEV_EXT -m state --state NEW,INVALID -j LOG
# alles verwerfen, was auf keine bisherige regel gepaßt hat
$IPTABLES -A INPUT -j DROP
$IPTABLES -P INPUT DROP
[I]
weis jemand was daran falsch ist?
oder fehlt noch was?
oder kennt jemand noch en anderes gutes tutorial dafür?
THNX
CU