am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: > Ich habe folgendes Script gefunden und ausprobiert: > ------------------snip--------------------------------- > #! /bin/sh > > echo "1" > /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings > > # Flushen, Löschen, Neuerstellung - nicht vergessen im Script! # > ################################################################ > iptables -F > iptables -F -t nat > > iptables -F sperre > iptables -X sperre > iptables -N sperre > iptables -F sperre
Eine neu angelegte Kette ist leer. Ab jetzt saugt Dein Umbruch... > > # first contact # > ################# > iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles > aus dem lan ohne passende IP wegwerfen > iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier eth1 ist lan, eth0 inet? > sollte man aufpassen, was man den Usern gewähren will und sich vor Trojanern > schützen.) > iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # Für Loopback wir > immer alles erlaubt ausser von nicht 127.0.0.1 > iptables -A sperre -i eth0 -s 192.168.56.0/255.255.255.0 -j DROP # Alles aus > dem Inet mit meinen IPs werwerfen > > # acceptstuff # > ############### > iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp erlauben > iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange > erlauben > > # Antworten zulassen # > ###################### > iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT > > # Alles andere abweisen (RFC-konform) # > # folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), > aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, > also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von > Portscannern als gefiltert erkannt und macht den rechner interessanter, > REJECT, wie es unten angeführt ist, als geschlossen. Jeder möge selbst > entscheiden.. > ####################################### > iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset > iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable > > # sperre aktivieren # > ##################### > iptables -A INPUT -j sperre > iptables -A FORWARD -j sperre > iptables -P INPUT DROP > iptables -P FORWARD DROP Es ist IMHO sinnvoller, die Policy am Anfang zu setzen. > > iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein > Trojanerhinweis...) # ????????? was muß da hin?? Welche Dienste _außen_ sollen erlaubt sein? Du könntest z.B. in FORWARD für Deine Clients expliziet nur DNS erlauben und z.B. für Webzugriffe einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt. > iptables -P OUTPUT ACCEPT -t nat > > # NAT # > ####### > iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird > maskiert > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to > 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden > # ???? Hm, wieso an einen? > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to > 192.168.0.2 # ftp genauso # ????Hm, an meinen noch nicht > aufgesetzten ftp-Server? Wenn FTP gehen soll, lade evtl. noch die dazu nötigen conntrack-Module. Ob ICQ sowas braucht, weiß ich grad nicht. > > echo "Firewall started" > > ----------------snap------------------ > > Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables > -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das Auf den ersten Blick und unter Beachtung der Tatsache, daß ich Deine Wünsche nicht kenne, mag das okay sein. > noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert, > ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche > Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß, weiß ich auch > nicht, aber das wird schon noch. Du kannst es _VOR_ dem Netzwerk starten. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
