am Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner folgendes: > Ich habe folgendes Script gefunden und ausprobiert: > ------------------snip--------------------------------- > #! /bin/sh > > echo "1" > /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings > > # Flushen, L�schen, Neuerstellung - nicht vergessen im Script! # > ################################################################ > iptables -F > iptables -F -t nat > > iptables -F sperre > iptables -X sperre > iptables -N sperre > iptables -F sperre
Eine neu angelegte Kette ist leer. Ab jetzt saugt Dein Umbruch... > > # first contact # > ################# > iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP # Alles > aus dem lan ohne passende IP wegwerfen > iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben (Hier eth1 ist lan, eth0 inet? > sollte man aufpassen, was man den Usern gew�hren will und sich vor Trojanern > sch�tzen.) > iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # F�r Loopback wir > immer alles erlaubt ausser von nicht 127.0.0.1 > iptables -A sperre -i eth0 -s 192.168.56.0/255.255.255.0 -j DROP # Alles aus > dem Inet mit meinen IPs werwerfen > > # acceptstuff # > ############### > iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp erlauben > iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT # icq portrange > erlauben > > # Antworten zulassen # > ###################### > iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT > > # Alles andere abweisen (RFC-konform) # > # folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), > aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, > also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von > Portscannern als gefiltert erkannt und macht den rechner interessanter, > REJECT, wie es unten angef�hrt ist, als geschlossen. Jeder m�ge selbst > entscheiden.. > ####################################### > iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset > iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable > > # sperre aktivieren # > ##################### > iptables -A INPUT -j sperre > iptables -A FORWARD -j sperre > iptables -P INPUT DROP > iptables -P FORWARD DROP Es ist IMHO sinnvoller, die Policy am Anfang zu setzen. > > iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein > Trojanerhinweis...) # ????????? was mu� da hin?? Welche Dienste _au�en_ sollen erlaubt sein? Du k�nntest z.B. in FORWARD f�r Deine Clients expliziet nur DNS erlauben und z.B. f�r Webzugriffe einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt. > iptables -P OUTPUT ACCEPT -t nat > > # NAT # > ####### > iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird > maskiert > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT --to > 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden > # ???? Hm, wieso an einen? > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to > 192.168.0.2 # ftp genauso # ????Hm, an meinen noch nicht > aufgesetzten ftp-Server? Wenn FTP gehen soll, lade evtl. noch die dazu n�tigen conntrack-Module. Ob ICQ sowas braucht, wei� ich grad nicht. > > echo "Firewall started" > > ----------------snap------------------ > > Das scheint, in einer shell gestartet, soweit zu funktionieren, wie iptables > -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert habe ich das Auf den ersten Blick und unter Beachtung der Tatsache, da� ich Deine W�nsche nicht kenne, mag das okay sein. > noch nicht. Bei Suse w�rde das dann von Yast nach rc.init.d kopiert, > ausf�hrbar gesetzt und in die Runlevel verlinkt. Wohin genau und an welche > Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian mu�, wei� ich auch > nicht, aber das wird schon noch. Du kannst es _VOR_ dem Netzwerk starten. Andreas -- Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
