Am Mittwoch, 15. Dezember 2004 17:38 schrieb Andreas Kretschmer: > am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: [...] > > iptables -F > > iptables -F -t nat > > > > iptables -F sperre > > iptables -X sperre > > iptables -N sperre > > iptables -F sperre > > Eine neu angelegte Kette ist leer. > > Ab jetzt saugt Dein Umbruch... sorry, hatte es gecopypasted > > > # first contact # > > ################# > > iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # > > Alles aus dem lan ohne passende IP wegwerfen > > iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben > > (Hier > > eth1 ist lan, eth0 inet? genau, bzw. DMZ, es zielt auf eine Fritzbox fon > > > sollte man aufpassen, was man den Usern gewähren will und sich vor > > Trojanern schützen.) [...] > > # sperre aktivieren # > > ##################### > > iptables -A INPUT -j sperre > > iptables -A FORWARD -j sperre > > iptables -P INPUT DROP > > iptables -P FORWARD DROP > > Es ist IMHO sinnvoller, die Policy am Anfang zu setzen. Ich dachte, man muß erst die erlaubte, dann die verbotenen setzen? > > > iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein > > Trojanerhinweis...) # ????????? was muß da hin?? > > Welche Dienste _außen_ sollen erlaubt sein? Du könntest z.B. in FORWARD > für Deine Clients expliziet nur DNS erlauben und z.B. für Webzugriffe > einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt.
Gut > > > iptables -P OUTPUT ACCEPT -t nat > > > > # NAT # > > ####### > > iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird > > maskiert > > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT > > --to 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden # > > ???? Hm, wieso an einen? > > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to > > 192.168.0.2 # ftp genauso # ????Hm, an meinen noch nicht > > aufgesetzten ftp-Server? > > Wenn FTP gehen soll, lade evtl. noch die dazu nötigen conntrack-Module. Stimmt, hatte ich vergessen, squid kann ja kein ftp > Ob ICQ sowas braucht, weiß ich grad nicht. > > > echo "Firewall started" > > > > ----------------snap------------------ > > > > Das scheint, in einer shell gestartet, soweit zu funktionieren, wie > > iptables -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert > > habe ich das > > Auf den ersten Blick und unter Beachtung der Tatsache, daß ich Deine > Wünsche nicht kenne, mag das okay sein. > > > noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, > > ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an > > welche Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, > > weiß ich auch nicht, aber das wird schon noch. > > Du kannst es _VOR_ dem Netzwerk starten. OK, Danke Peter