Hallo Holger, ich habe (von Deinem Ansatz ausgehend) mal ein fast(!) "symmetrisch" aufgebautes Skript getestet. Ich habe zwei lokale Subnetze (192.168.100.0/24 und 192.168.200.0/24).
ipchains -F input ipchains -P input DENY ipchains -A input -i lo -j ACCEPT ipchains -A input -i eth+ -s 192.168.100.0/24 -j ACCEPT ipchains -A input -i eth+ -s 192.168.200.0/24 -j ACCEPT ipchains -A input -i eth+ -s! 192.168.100.0/24 -j DENY ipchains -A input -i eth+ -s! 192.168.200.0/24 -j DENY ipchains -A input -i ippp+ -s 192.168.100.0/24 -j DENY ipchains -A input -i ippp+ -s 192.168.200.0/24 -j DENY ipchains -A input -i ippp+ -p TCP -y -j DENY ipchains -A input -i ippp+ -j ACCEPT ipchains -F forward ipchains -P forward DENY ipchains -A forward -s 192.168.100.0/24 -j MASQ ipchains -A forward -s 192.168.200.0/24 -j MASQ ipchains -F output ipchains -P output DENY ipchains -A output -i lo -j ACCEPT ipchains -A output -i eth+ -d 192.168.100.0/24 -j ACCEPT ipchains -A output -i eth+ -d 192.168.200.0/24 -j ACCEPT ipchains -A output -i eth+ -d! 192.168.100.0/24 -j DENY ipchains -A output -i eth+ -d! 192.168.200.0/24 -j DENY ipchains -A output -i ippp+ -d 192.168.100.0/24 -j DENY ipchains -A output -i ippp+ -d 192.168.200.0/24 -j DENY ipchains -A output -i ippp+ -p TCP -y -j ACCEPT ipchains -A output -i ippp+ -j ACCEPT Es scheint sogar zu funktionieren. Verbindungen nach draußend werden zugelassen. Eingehende Verbindungen werden verschluckt. Pakete mit internen Source-IPs dürfen nicht rein, Pakete mit internen Destination-IPs dürfen nicht raus. Verbindungsaufbau nach draußen erlaubt, nach drinnen verboten. Mich würde ein Statement eines Experten interessieren, ob diese Konfiguration als simple Ausgangsbasis geeignet ist... Oder gibt es grobe Schwachstellen? Viele Grüße Michael Hierweck -- PGP - Key-ID: 0xBD64F025 PGP - Fingerprint: BDB1 2E59 7D13 7607 F4F4 B9D8 5CE3 4084 BD64 F025 ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 734