debianforum.de

[elvis00]

hi,
wenn du iptables als modul kompiliert hast dann per modconf rein damit in den kernel.
andernfalls modul kompilieren oder direkt rein damit in den kernel.
am anfang ist es besser es in den kernel reinzukompilieren dann hast du ein problem weniger.
gruss

[trozmo]

ich dachte, iptables wäre eh schon im kernel drin.

[arzie]

muss das nicht so heissen?

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP


Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP


mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt

Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.

[nenads]

ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:

Code: Alles auswählen

Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)


dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!

[glatzor]

Welches Skript denn genau?

Und was für einen Kernel verwendest Du? Alle notwenidgen Module sind in den Standard 2.4 er Kernel enthalten:

"uname -r"

[nenads]

diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?

Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac


[glatzor]

Entschuldige, ich hatte überlesen, dass Du einen selbstkompilierten Kernel verwedendest. Und hier liegt auch das Problem. Du hast nicht alle notwendingen Module einkompiliert.

Füge alle iptables/netfilter Treiber als Module hinzu oder verwende einen Debian-Standard-Kernel.

[Chimerer]

Firewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.

nachzulesen in der neuen Firewall-Sektion von securityfocus.com

http://www.securityfocus.com/infocus/unix?topic=fwrules

[kox666]

# Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?

Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich

Gruß Marco

[odradeck]

*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.

Schönen Dank!


@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Die+Optimale+MTU+f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.

Gruss
odde

[arnem]

Hi @ all...

Habe mir das Lutel-Script mal angesehen. So schlecht dokumentiert ist es nicht.
Wo und wie konfiguriere ich aber Port-Forwarding?

Hintergrund:
zum Spielen und für P2P-Anwendungen muss ich Anragen auf Port XYZ von außen auf eine IP im LAN forwarden.

[carstenBLN]

mit

Code: Alles auswählen

iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>


Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81


Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.

[carstenBLN]

Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile

Code: Alles auswählen

iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT


wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.

[copter]

warum wird in den policies bei INPUT erstmal alles erlaubt?

Code: Alles auswählen

# Default-Policies setzen - alles bis auf Weiterleitung erlaubt
iptables -P INPUT ACCEPT

ist es nicht sinvoller erstmal allen eingang zu verbieten?

Code: Alles auswählen

iptables -P INPUT DROP

mfg
copter