rolux
07.07.03, 13:07
Tach zusammen,
kann ich das in die /etc/init.d/boot.local schreiben, um 'ne kleine Firewall zu bauen?
------------- schnipp ------------
# Forwarding aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward
# Module laden
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
# Dann alles löschen
iptables -F
# Grundregeln
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# DNS- Anfragen vom Proxy
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p udp -s 217.5.115.7 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p udp -s 193.189. 224.2 --sport 53 --dport 1024: -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -p tcp -s 217.5.115.7 --sport 53 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -p tcp -s 193.189.131.2 --sport 53 --dport 1024: ! --syn -j ACCEPT
# Internet
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT
# Forwarding
iptables -A FORWARD -o ppp+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp+ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.200.14 -o ppp+ -j MASQUERADE
# Network File System (Mounting of NFS-Shares possible)
iptables -A INPUT -i eth0 -s 172.16.200.13 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 1011 ---dport 900: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 111 ---dport 600: -j ACCEPT
# alles andere loggen
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
------------- schnapp ---------------------------
Würde das funktionieren? Oder ist das so nicht sinnvoll?
Was denkt ihr darüber?
Rolf
kann ich das in die /etc/init.d/boot.local schreiben, um 'ne kleine Firewall zu bauen?
------------- schnipp ------------
# Forwarding aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward
# Module laden
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
# Dann alles löschen
iptables -F
# Grundregeln
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# DNS- Anfragen vom Proxy
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p udp -s 217.5.115.7 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p udp -s 193.189. 224.2 --sport 53 --dport 1024: -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -p tcp -s 217.5.115.7 --sport 53 --dport 1024: ! --syn -j ACCEPT
iptables -A INPUT -p tcp -s 193.189.131.2 --sport 53 --dport 1024: ! --syn -j ACCEPT
# Internet
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024: ! --syn -j ACCEPT
# Forwarding
iptables -A FORWARD -o ppp+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp+ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.200.14 -o ppp+ -j MASQUERADE
# Network File System (Mounting of NFS-Shares possible)
iptables -A INPUT -i eth0 -s 172.16.200.13 -p tcp --sport 602: --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 1024: --dport 634: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 1011 ---dport 900: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 111 ---dport 600: -j ACCEPT
# alles andere loggen
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
------------- schnapp ---------------------------
Würde das funktionieren? Oder ist das so nicht sinnvoll?
Was denkt ihr darüber?
Rolf