Hallo,
hier noch ein Skript. Es ist bis heute noch in Gebrauch:
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p udp --destination-port 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 143 -j ACCEPT
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 20 -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 21 -j ACCEPT
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -d '!'
192.168.0.0/16 -j MASQUERADE
Ein paar Anmerkungen dazu:
Policy ist: Es ist alles verboten, was nicht erlaubt ist. Diese Policy
ist f�r eine Firewall meist die beste L�sung.
Die Eintr�ge -p 50/51 werden f�r IPsec ben�tigt.
Das LAN darf alles.
IP Frames mit einer Zieladresse 192.168.0.0/16 werden nicht mit NAT
behandelt, das h�ngt mit einem VPN zusammen.
Gr��e
Christian
Jochen Hein wrote:
>Warum nicht? Wenn Du Sorgen hast, dass hier jemand hackt: Wir sind
>alle nur durchschnittlich kriminell.
>
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
