Hi,
leider etwas verspaetet, aber ich mail probleme - besser gesagt, ich hab meinen
rechner neu aufgesetzt, konnte nix empfangen
ich hoffe es hilft dir etwas
> W�re fein, wenn du mal dein ipcains-skript mal snippst.
> den nur der Maskierungsteil ist wohl nicht so der richtige Schutz...
>
Patrick
--
******************************************************************
Penguin User Group : http://www.pug.org
PGP Fingerprint : DC 29 D2 FD D7 E1 4C B2 82 B4 FA 21 D7 AF 16 58
# /etc/init.tron/ipchains
case $1 in
start)
echo "Starting IP-Filtering/IP-Masquerading";
/usr/sbin/isdnctrl dial ippp0;
#Loopdevicetransfer erlauben:
ipchains -A input -i lo -j ACCEPT;
ipchains -A output -i lo -j ACCEPT;
#Standartregel setzen: keine Pakete werden aktzeptiert:
ipchains -P input DENY;
ipchains -P output REJECT;
ipchains -P forward REJECT;
#IP-Masquerade:
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f;
done
echo 1 > /proc/sys/net/ipv4/ip_forward;
/sbin/depmod -a;
/sbin/modprobe ip_masq_ftp;
/sbin/modprobe ip_masq_raudio;
/sbin/modprobe ip_masq_irc;
/sbin/modprobe ip_masq_quake;
/sbin/modprobe ip_masq_cuseeme;
ipchains -A forward -s 192.168.0.0/24 -j MASQ;
ipchains -M -S 0 0 10;
#Paketfilter:
#Pakete vom lokalem Netz zur Firewall/Internet:
ipchains -A input -s 192.168.0.0/24 -i eth0 -j ACCEPT;
#Pakete von der Firewall/Internet zum lokalem Netz:
ipchains -A output -d 192.168.0.0/24 -p tcp -i eth0 -j ACCEPT ! -y;
#Antworten auf TCP Anfragen
ipchains -A output --sport 20 -d 192.168.0.0/24 1024: -p tcp -i eth0
-j ACCEPT; #Antworten auf Aktive FTP Anfragen
ipchains -A output -s 192.168.0.70 53 -d 192.168.0.0/24 -p udp -i eth0
-j ACCEPT; #Antworten auf DNS Anfragen
ipchains -A output -s 192.168.0.70 1024: -d 192.168.0.0/24 1024: -p
tcp -i eth0 -j ACCEPT; #Verbindung zu XServer 6000 / ueber 1024 (ftp)
ipchains -A output -s 192.168.0.70 137 -d 192.168.0.0/24 137 -p udp -i
eth0 -j ACCEPT; #Netbios Datagram Service (Samba?)
ipchains -A output -s 192.168.0.70 138 -d 192.168.0.0/24 138 -p udp -i
eth0 -j ACCEPT; #Netbios Datagram Service (Samba?)
#Pakete von der Firewall ins Internet:
ipchains -A output -i ippp0 -j ACCEPT;
#Pakete vom Internet zur Firewall:
ipchains -A input -p tcp -i ippp0 -j ACCEPT ! -y;
#Antworten auf TCP Anfragen
ipchains -A input --sport 53 --dport 1024: -p udp -i ippp0 -j ACCEPT;
#Antworten auf DNS Anfragen
ipchains -A input --sport 123 --dport 123: -p udp -i ippp0 -j ACCEPT;
#Antworten auf NTP Anfragen
ipchains -A input --sport 20 --dport 1024: -p tcp -i ippp0 -j ACCEPT;
#Antworten auf Aktive FTP Anfragen
ipchains -A input --dport 113 -p tcp -i ippp0 -j ACCEPT;
#Authorisationsanfrage
ipchains -A input --dport 22 -p tcp -i ippp0 -j ACCEPT;
#SSH-Login
ipchains -A input --sport 1024: --dport 2100 -p tcp -i ippp0 -j
ACCEPT; #ftp
#ipchains -A input --sport 1976 --dport 1024: -p tcp -i ippp0 -j
ACCEPT; #falcon aktiv ftp
ipchains -A input -s 212.218.144.43 --sport 1024: --dport 1024: -p tcp
-i ippp0 -j ACCEPT; #mcp
#ICMP
ipchains -N icmp-acc;
ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j
ACCEPT;
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT;
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT;
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT;
ipchains -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT;
ipchains -A output -d 192.168.0.0/24 -i eth0 -p icmp -j ACCEPT;
ipchains -A input -i ippp0 -p icmp -j icmp-acc;
#Loggen der durchgekommenden Pakete:
ipchains -A input -l;
ipchains -A output -l;
ipchains -A forward -l;
;;
stop)
echo "Stopping IP-Filtering/IP-Masquerading";
ipchains -F input;
ipchains -F forward;
ipchains -F output;
ipchains -F icmp-acc;
ipchains -X icmp-acc;
ipchains -P input ACCEPT;
ipchains -P output ACCEPT;
ipchains -P forward ACCEPT;
echo 0 > /proc/sys/net/ipv4/ip_forward;
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $f;
done
;;
*)
echo "usage: $0 {start|stop}";
;;
esac
exit 0;
