Re: [PUG] Re: Firewalls

Tobias Kaefer Sun, 27 Jan 2002 08:16:14 -0800

Hier ist meine ipchains-Regel-Sammlung:
#!/bin/sh

IPCHAINS=/sbin/ipchains



localnet="192.168.0.0/24"
firewallhost="192.168.0.1/32"
Any="0.0.0.0/0"
localhost="127.0.0.1/32"


$IPCHAINS -P input ACCEPT
$IPCHAINS -P forward DENY
$IPCHAINS -P output ACCEPT

$IPCHAINS -F
$IPCHAINS -X
$IPCHAINS -N ppp-in
$IPCHAINS -N ppp-out
$IPCHAINS -N spoof
$IPCHAINS -N Dump

$IPCHAINS -A Dump  -o 4096
$IPCHAINS -A Dump  -j DENY

$IPCHAINS -A spoof -i lo -s 192.168.0.1/32 -d 192.168.0.1/32  -j ACCEPT
$IPCHAINS -A spoof -i lo -s 192.168.0.10/32 -d 192.168.0.10/32  -j ACCEPT
$IPCHAINS -A spoof -i eth0:0 -s ! $localnet -j Dump
$IPCHAINS -A spoof -i ! eth0:0 -s $localnet -j Dump
$IPCHAINS -A spoof -s $Any -d $Any -j ACCEPT



# input rules
$IPCHAINS -A input -i eth0 -s ! $localnet -j spoof
$IPCHAINS -A input -i ! eth0 -s $localnet -j spoof
$IPCHAINS -A input -i ! lo -s $localhost -j Dump
$IPCHAINS -A input -i eth1 -j Dump
$IPCHAINS -A input -s $localhost -d $localhost -i lo -j ACCEPT
$IPCHAINS -A input -s $localnet -d $localnet -i lo -j ACCEPT
$IPCHAINS -A input -s $localnet -d $localnet -i eth0 -j ACCEPT
$IPCHAINS -A input -s $localnet -d $localnet -i eth0:0 -j ACCEPT
$IPCHAINS -A input -s $Any -d $Any -i ppp0 -j ppp-in

# forward rules
$IPCHAINS -A forward -s $localnet -d $localnet -j ACCEPT
$IPCHAINS -A forward -s $localnet -d $localhost -j ACCEPT
$IPCHAINS -A forward -s $localnet -d ! $localnet -j MASQ

# output rules
$IPCHAINS -A output -s $Any -d $Any -j ACCEPT
$IPCHAINS -A output -s $Any -d $Any -i lo -j ACCEPT
$IPCHAINS -A output -s $Any -d $Any -j ACCEPT
$IPCHAINS -A output -s $Any -d $Any -i ppp0 -j ppp-out

# ppp-in rules
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any ms-sql-s -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any ms-sql-s -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any nfs -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any nfs -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 5432 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 5432 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 137:139 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 137:139 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 5999:6003 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 5999:6003 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 31337 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 31337 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 12345:12346 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 12345:12346 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 37 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 37 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 111 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 111 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 515 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 515 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 901 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 901 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 3128 -j Dump
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 3128 -j Dump
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any ident -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 177 -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 177 -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any 1023:65535 -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any 1023:65535 -j ACCEPT
$IPCHAINS -A ppp-in -p icmp -s $Any -d $Any -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any smtp -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any smtp -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any ssh -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any ssh -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any http -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any http -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any ftp -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any ftp-data -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any ftp-data -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any pop3 -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any pop3 -j ACCEPT
$IPCHAINS -A ppp-in -p tcp -s $Any -d $Any pop3s -j ACCEPT
$IPCHAINS -A ppp-in -p udp -s $Any -d $Any pop3s -j ACCEPT
$IPCHAINS -A ppp-in -s $Any -d $Any -j Dump

# ppp-out rules
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any http -t 0x01 0x10
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any telnet -t 0x01 0x10
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any ssh -t 0x01 0x10
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any ftp -t 0x01 0x10
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any ftp-data -t 0x01 0x08
$IPCHAINS -A ppp-out -p tcp -s $Any -d $Any 5900:5999 -t 0x01 0x10

----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] Re: Firewalls

Antwort per Email an