Firewallscripts
muss das nicht so heissen?
Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein
mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt
Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.
Code: Alles auswählen
iptables -A INPUT -i $IFACE_EXT -s 192.168.0.0/16 -j DROP
Und der Ordnung halber sollte dann auch noch ein
Code: Alles auswählen
iptables -A INPUT -i $IFACE_EXT -s 169.254/16 -j DROP
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt
Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.
ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:
dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!
und folgendes ist pasiert:
Code: Alles auswählen
Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!
diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?
k-pl hat geschrieben:Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.
Code: Alles auswählen
#!/bin/sh #----------------------------------------------- # config #----------------------------------------------- IF_INT=eth0 IF_LO=lo #----------------------------------------------- # stopFirewall #----------------------------------------------- function stopFirewall() { # enable all package, but do not forward iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -F iptables -t nat -F iptables -X iptables -t nat -X rmmod ip_conntrack_ftp rmmod ipt_LOG } #----------------------------------------------- # startFirewall #----------------------------------------------- function startFirewall() { modprobe ip_conntrack_ftp modprobe ipt_LOG iptables -F iptables -X # drop everything iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # allow everything from IF_LO iptables -A INPUT -i $IF_LO -j ACCEPT iptables -A OUTPUT -o $IF_LO -j ACCEPT # allow all related from IF_INT iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT # allow all outgoing TCP connections to IF_INT iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT # logg all other destoryed packages iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn } ############################################################################### ## Start-Stop-Script ## ############################################################################### case "$1" in start) echo -n "Starting firewall: iptables" startFirewall echo "." ;; stop) echo -n "Stopping firewall: iptables" stopFirewall echo "." ;; restart) $0 stop $0 start ;; *) echo "Usage: firewall {start|stop|restart}" exit 1 ;; esac
nachzulesen in der neuen Firewall-Sektion von securityfocus.comFirewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.
http://www.securityfocus.com/infocus/unix?topic=fwrules
[ jabber ] chimerer@amessage.de
Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?k-pl hat geschrieben: # Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich
Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger
- Michael Rüttger
*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.
Schönen Dank!
@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.
Gruss
odde
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.
Schönen Dank!
@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.
Gruss
odde
~ wer Rechtschreibfehler findet, darf sie behalten ~
-
- Beiträge: 20
- Registriert: 08.10.2003 20:39:35
mit
Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:
Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.
Code: Alles auswählen
iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>
Code: Alles auswählen
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81
-
- Beiträge: 20
- Registriert: 08.10.2003 20:39:35
Ergänzung zum FW-Script
Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile
wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.
Code: Alles auswählen
iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
warum wird in den policies bei INPUT erstmal alles erlaubt?
ist es nicht sinvoller erstmal allen eingang zu verbieten?
mfg
copter
Code: Alles auswählen
# Default-Policies setzen - alles bis auf Weiterleitung erlaubt
iptables -P INPUT ACCEPT
Code: Alles auswählen
iptables -P INPUT DROP
copter
- Picknicker
- Beiträge: 654
- Registriert: 25.04.2003 16:28:02
- Wohnort: Saarland
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Die Policy kann man setzen wie man will. ACCEPT oder DROP haben keinen Einfluss auf die nachfolgenden Regeln, die Policies werden erst angewendet, wenn *alle* Chains durchlaufen wurden.
Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.
Patrick
Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
-
- Beiträge: 6
- Registriert: 27.03.2004 22:53:38
Das Firewall Thema ist für mich immer das mit interessanteste Thema gewesen .. nur habe ich leider nie die Zeit mich mal mit iptables genauer auseinander zu setzen.
für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.
Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.
Nachteil: ist so nett zu bedienen, daß man nie iptables lernt
*smile*
Gruß, Brian
für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.
Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.
Nachteil: ist so nett zu bedienen, daß man nie iptables lernt
*smile*
Gruß, Brian
Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?
Hab grad das Problem, dass ich ein Script fürn Ethernet-Router benötige, die ganzen Beispiele aber immer für einen WAN Router sind und ich denke, dass hier das Netz schon vom fli4l abgesichert ist (hoffe ich mal)!
Was erstelle ich den hier für Regeln? Bisher kann ich ausschliesslich pingen, mehr geht nicht durch
Hab grad das Problem, dass ich ein Script fürn Ethernet-Router benötige, die ganzen Beispiele aber immer für einen WAN Router sind und ich denke, dass hier das Netz schon vom fli4l abgesichert ist (hoffe ich mal)!
Was erstelle ich den hier für Regeln? Bisher kann ich ausschliesslich pingen, mehr geht nicht durch
Hi,
Mti Hilf von dos2unix kannst du dos formatierte Dateien in Unix formatierte umwandeln.
Das ganze gibt es auch umgekehrt.
MfG
pierre
putty, ein Editor und dos2unix.fte213 hat geschrieben:Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?
Mti Hilf von dos2unix kannst du dos formatierte Dateien in Unix formatierte umwandeln.
Das ganze gibt es auch umgekehrt.
MfG
pierre
nabend zusammen,
die Geschichte mit den Grundlagen ist nicht unwichtig. Will es wirklich nicht runter machen.
Aber für die Praxis im home- oder im Small-Office Bereich gibt es für mich nur eines:
fwbilder
fwbilder vergisst keinen Rückweg zu öffnen.
fwbilder ist leicht per gtk zu konfigurieren
Für verschiedene spezielle FW habe ich mit awk und bash Scripte für Firewalling gebaut, bis ich
fwbilder entdeckte.
Es gibt bestimmt ähnliche gute Tools, die ich nicht kenne.
Gruß haga43
die Geschichte mit den Grundlagen ist nicht unwichtig. Will es wirklich nicht runter machen.
Aber für die Praxis im home- oder im Small-Office Bereich gibt es für mich nur eines:
fwbilder
fwbilder vergisst keinen Rückweg zu öffnen.
fwbilder ist leicht per gtk zu konfigurieren
Für verschiedene spezielle FW habe ich mit awk und bash Scripte für Firewalling gebaut, bis ich
fwbilder entdeckte.
Es gibt bestimmt ähnliche gute Tools, die ich nicht kenne.
Gruß haga43
-
- Beiträge: 7
- Registriert: 15.03.2004 10:33:41
- Wohnort: rosenheim
da gibts meiner meinung nach auch nen relativ guten iptables-generator unter http://www.harrry.homelinux.org
benutze den auch und bin damit soweit zufrieden. ok höheren anprüchen genügt es natürlich nicht aber ist mal ein anfang
benutze den auch und bin damit soweit zufrieden. ok höheren anprüchen genügt es natürlich nicht aber ist mal ein anfang