Ulrich Wiederhold schrieb am Dienstag, 13. Februar 2001 um 18:55:19 +0100: > Ich weiß einfach nicht mehr weiter. Zur Zeit nutze ich folgendes Script: > #!/bin/sh > # Firewallscript > # /etc/rcS.d/S98firewall > > echo "Starte Firewall... " > > # Nun müssen die Interfaces und IP - Nummern alle zugewiesen werden. > EXTERNES_INTERFACE="eth0" > > # Module laden > insmod ip_tables > > # Lösche alle Filter > iptables -F INPUT > iptables -F FORWARD > iptables -F OUTPUT > > # Default Policy > iptables -P INPUT DROP #input drop > iptables -P FORWARD DROP #forward drop > iptables -P OUTPUT DROP #output drop > > # LogRegeln, erstmal alles loggen, dann droppen > iptables -F droplog > iptables -N droplog > iptables -A droplog -j LOG > iptables -A droplog -j DROP > > # Anti spoofing Regeln > iptables -A INPUT -s 127.0.0.1/255.0.0.0 -i ! lo -j droplog > > # Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen > # von innen > iptables -N block > iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j > ACCEPT
die regel verstehe ich jetzt nicht. ok du laesst nur ESTABLISHED,RELATED von aussen zu, aber dann doch auch NEW? das ist doch wiedersinnig! lass die zweite mal weg. > iptables -A block -j DROP hier wuerde ich auch mal -j droplog nehmen, sonst bringt das logging ja nix. dann findest Du vielleicht auch was in /var/log/kern.log :-))) > # Kette erstellen, die ausgehenden Traffic erlaubt > iptables -N allout > iptables -A allout -i $EXTERNES_INTERFACE -j ACCEPT ^^ manpage von iptables genauer lesen! -i ist nur bei den chains INPUT, FORWARD und PREROUTING erlaubt bei OUTGOING _mußt_ Du -o nehmen!!! > iptables -A allout -j DROP hier wielleicht auch ein -j droplog sonst wird ja auch nix geloggt > # Von INPUT und FORWARD Ketten zur Kette block springen vielleicht erleichtert ein iptables -A INPUT -i lo -j ACCEPT Deinem Rechner die interne Kommunikation :-) > iptables -A INPUT -j block > iptables -A FORWARD -j block > > # Von OUTPUT Kette zur Kette allout springen dto. iptables -A OUTPUT -o lo -j ACCEPT > iptables -A OUTPUT -j allout wie schon jemand geschrieben hat: warum kompliziert, wenn Du nur 2 regeln hast kannst mußt Du nicht unbedingt den umweg über eine seperate chain gehen! > ------------------------------------------------------------- > > Das gibt folgende Ausgabe: > debian:/home/fzzgrr# ./S98new > Starte Firewall... > Using /lib/modules/2.4.1/kernel/net/ipv4/netfilter/ip_tables.o > iptables: No chain/target/match by that name in iptables -F droplog am anfang Du versuchst einen Chain zu leeren, die es noch nicht gibt. Bei mir ist das drin, weil ich mein firewall-script nach jedem einwahlvorgang automatisch aufrufe, um die regeln an die neue dyn. ip-addresse anzupassen > Wo der Fehler liegt habe ich noch nicht herausgefunden. > -------------------------------------------------------------- -- Heute ist nicht alle Tage, ich komm' wieder, keine Frage!!! Joerg